Kiberhadviselés

[bel]

Ugyanez, mas stilusban: kiber.blog.hu/2020/12/15/tovaris_grincs_es_a_karacsony_egy_nehez_het_kronikaja

 

[boki]

Kína áll a támadás mögött minden bizonnyal.

 

[kamm]

Kína áll a támadás mögött minden bizonnyal.

Ideat az egesz sajto teli tudobol oridtja az NSA- ill lehallgato-iparag mondokajat, miszerint OROSZOK! OROSZOK! OROSZOK!

MIndekozben kiderult, hogy a Solarwinds egyetlen kozponti update servert (clustert) hasznalt a frissitesekhez/patchekhez, amin az adminisztrativ login passwordje HONAPOKON AT "solarwinds123" volt, amint az raadasul egy security analyst kozze is tette figyelmeztetesul, de semmi nem tortent.

Ezek utan semmibe nem kerul egy tapasztaltabb tarsasagnak betenni valami remote exploitot valamelyik patchbe avagy ezen a kozponti update halozaton keresztul az osszes kliensoldali Solarwinds rendszerbe belepni, ott sajat bejaratot csinalni, majd azon keresztul mar gyerekjatek a korulottuk levo halozatokat teljesen kompromittalni.

Bruce Schneier azt irja a blogjan, hogy gyakorlatilag "progi kell egetni minden erintett halozatot" es ezzel sajnos egyetertek, ezen a ponton lehetetlen tudni, mikor 'tszita' ujra egy halozat, no meg a mitigation process annyi lenne (izolalni mindegyiket, majd azokon belul a servereket ujrahuzni, vegigmenni egyesevel, backupokat nem hasznalni, mert nem tudjuk, mikori a behatolas, mindekozben masik, uj ideiglenes kiszolgalokat es halot uzembe helyezni stb), hogy ertelmetlen ra kolteni a forensic prceudre kotelezo lepesein tul, de az meg mar az FBI es a CISA dolga.

Schneiert tisztelem es elismerem, de ebbol nekem meg nem kovetkezik, hogy state-level actor lenne mogotte, legalabbis nem feltetlenul originkent.
Valoszinu, sot, eleg egyertelmu, hogy egy ponton minimum eladtak nekik a hozzaferest, de ez nem is igazan "hack", hanem egy botranyosan primitiv, amator security lapse, amit kihasznaltak tovabbi hackre. Az meg vegkepp nem vilagos, hogy mitol lennenek pont az oroszok - barki lehetett, sot, szerintem inkabb "gangbang' ment a szovetsegi halozatokon...

 

[kamm]

Annyit meg hozzatennek, hogy nem tul meglepo ez az egesz Solarwinds-sztori: ez a ceg mindossze 15-20 eves es kezdettol fogva olcso indiai munkaerot hasznalt mindenre, raadasul osszevasarolta maganak a cuccokat, ugy nott, nem organikusan es nem minosegi alapokon fejlesztve a termekskalat. Engem rengetegszer nyaggattak, de par trial utan mindig megallapitottam, hogy nincs az az isten, hogy en ezekben megbiznek ilyen szinten.

Az ugyfeleik kozott lathatoan nem ez volt a gondolkodasmod: naluk egyertelmuen semmifele risk policyt ill security policyt nem tartottak be, maskulonben kizart lenne egyetlen kulso szallito termkenek a kezebe adni a teljes network feletti hozzaferest.
Nem magamat akarom fenyezni, en ezeknel a szovetsegi megahalozatoknal csak sokkal kisebbeket terveztem ill. uzemeltettem mindig, de mar azoknal sem johetett ilyen szoba sosem: amikor meg nem volt zero-access vendor-side crypto a hasonlo mgmt cuccokban, akkor is bizony kezzel logoltattam be mindenkit, ha admin-level elevation kellett, 2FA generatorral, valamint kulon, restricted system accountok voltak mindenfele automated updatekhez stb. Emellett volt ket masik 24/7 network monintoring tool, amelyek logoltak mindent es ugy voltak konfigolva, hogy egybol riasztottak, ha valahol akarcsak olyan access-level elevation volt, ami nem ismert rutin alapjan ment, barmifele rendszerszintu valtoztatasrol mar nem is beszelve, plusz egymast is figyeltek.

Mindez egyaltalan nem paranoid, hanem egeszseges es elvart halozati biztonsagi norma, szazszor ekkora rendszereknel meg eleve ugye szegmentalni kell a halozatokat es brancheken avagy akar subdomainek szintjen is minimum hasonlo szintet kellene uzemeltetni, akkor nemcsak egybol megfojak, tehat a damage is kisebb, de a mitigation ill cleanup is sokkal egyszerubb es gyorsabb lenne most.

 

[aquarell]

„Ugy mint Putin, én sem szeretem a véletlent, mert túl sok elökészitèst igényel“

 

[Törölt tag 008]

(Most elgurulok pihenni, de ha felkeltem, atolvasom a legmegbizhatobb security bloggereket es majd megprobalom osszerakni a reszleteket.)

Megtennéd, hogy pár oldalt betolsz ide? Keresgettem már jó sec oldalakat, de a legtöbb szponzorált szar. Tényleg megbízható független érdekelne (általánosan, nem ezzel kapcsolatban.)

Engem rengetegszer nyaggattak, de par trial utan mindig megallapitottam, hogy nincs az az isten, hogy en ezekben megbiznek ilyen szinten.

Óóóó, majd ha úgy kezdik, hogy ez x millió usds üzlet +1 ahol te mondod meg a számlaszámot mi meg nem kérdezünk semmit

 

[kamm]

Megtennéd, hogy pár oldalt betolsz ide? Keresgettem már jó sec oldalakat, de a legtöbb szponzorált szar. Tényleg megbízható független érdekelne (általánosan, nem ezzel kapcsolatban.)

Most malacot sutok - de feljebb ideztem mar Schneiert a Schneier on Security blogjarol, ott van Krebs a krebsonsecurity.com blogjan, news.ycombinator.com, ./ threadek, Techdirt is okes ha nem a legmelyebb tartalmat keresed stb. Nekem van kb 25 evnyi link meg blog meg minden a feed aggregatoromban, hadd ne tegyem mar azt kozkinccse, meg nem tervezem a nyugdijt.
Es persze figyeld Twittert, az a leggyorsabb mindig, csak egeszseges bizalmatlansaggal kell kezelni.

Óóóó, majd ha úgy kezdik, hogy ez x millió usds üzlet +1 ahol te mondod meg a számlaszámot mi meg nem kérdezünk semmit

Ez itt nem igy megy, ezert itt eveket ulsz, raadasul szovetsegi ugyekben tipikusan sokkal durvabb iteletek szuletnek, mint allamok szintjen - igaz, a szovetsegi bortonokben jobb az ellatas es sokkal biztonsagosabbak is.

 

[Wilson]

Most malacot sutok

Ez valami informatikus szleng az információszerzésre?

 

[Wilson]

„Ugy mint Putin, én sem szeretem a véletlent, mert túl sok elökészitèst igényel“

Ez jó

 

[ozymandias]

Most malacot sutok - de feljebb ideztem mar Schneiert a Schneier on Security blogjarol, ott van Krebs a krebsonsecurity.com blogjan, news.ycombinator.com, ./ threadek, Techdirt is okes ha nem a legmelyebb tartalmat keresed stb. Nekem van kb 25 evnyi link meg blog meg minden a feed aggregatoromban, hadd ne tegyem mar azt kozkinccse, meg nem tervezem a nyugdijt.
Es persze figyeld Twittert, az a leggyorsabb mindig, csak egeszseges bizalmatlansaggal kell kezelni.



Ez itt nem igy megy, ezert itt eveket ulsz, raadasul szovetsegi ugyekben tipikusan sokkal durvabb iteletek szuletnek, mint allamok szintjen - igaz, a szovetsegi bortonokben jobb az ellatas es sokkal biztonsagosabbak is.

https://www.bleepingcomputer.com/ne...attack-the-hack-the-victims-and-what-we-know/

még eddig itt írtak róla aránylag részletesen.

 

[FilcTroll]

(...) gyakorlatilag "progi kell egetni minden erintett halozatot" es ezzel sajnos egyetertek, ezen a ponton lehetetlen tudni, mikor 'tszita' ujra egy halozat (...)

Ugye jól értem, hogy ez a porrá égetés egészen a hardverek szintjéig is szükséges lehet? Már a szoftveres újjáépítés is horror munka ekkora léptékben, de ha a vasak nagy része is cserélendő, az kb. sci-fi kategória.

 

[bel]

Ugye jól értem, hogy ez a porrá égetés egészen a hardverek szintjéig is szükséges lehet?

Szia,

En valoszinutlennek erzem, hogy egy szoftveres behatolassal meg lehessen torni a hardvert.

Vagyis szerintem "csak" ujra kell telepiteni a programokat, es ami ennel sokkal nagyobb munka: ujra konfiguralni, a regi beallitasok visszatoltese nelkul.

De persze az en tudasom igen messze van az FSZB mogott, szoval siman elkepzelheto, hogy ok ismernek olyan hibat, ami alapjan hardvernek tekintett reszbe (pl. lemez firmware) lehet tenni backdoort. De ez szerintem valoszinutlen.

Bel

 

[boki]

Szia,

En valoszinutlennek erzem, hogy egy szoftveres behatolassal meg lehessen torni a hardvert.

Vagyis szerintem "csak" ujra kell telepiteni a programokat, es ami ennel sokkal nagyobb munka: ujra konfiguralni, a regi beallitasok visszatoltese nelkul.

De persze az en tudasom igen messze van az FSZB mogott, szoval siman elkepzelheto, hogy ok ismernek olyan hibat, ami alapjan hardvernek tekintett reszbe (pl. lemez firmware) lehet tenni backdoort. De ez szerintem valoszinutlen.

Bel

Honnét veszed, hogy az FSZB volt?

 

[ozymandias]

Ugye jól értem, hogy ez a porrá égetés egészen a hardverek szintjéig is szükséges lehet? Már a szoftveres újjáépítés is horror munka ekkora léptékben, de ha a vasak nagy része is cserélendő, az kb. sci-fi kategória.

meglepődnél, hogy mennyire egyszerű, ha tudnád, milyen állapotban vannak az ipari berendezések. A PLC-knek vagy a SCADA-knak gyakorlatilag nulla védettségük van. Belemélyedtem az ipari vonalba és azóta nem vagyok nyugodt..

Szét lehet égetni egy számítógépet, de nem úgy, hogy a számítógépnek mondod hogy menj tönkre, hanem egy PLC-nek küldesz parancsokat, ami olyan terheléseket generál a helyi hálózatban, ami majd hazavágja a gépedet...

Vájt fülekkel rendelkezőknek: annyit mondok: TELNET, 2020-ban... No comment

 

[FilcTroll]

meglepődnél, hogy mennyire egyszerű, ha tudnád, milyen állapotban vannak az ipari berendezések. A PLC-knek vagy a SCADA-knak gyakorlatilag nulla védettségük van. Belemélyedtem az ipari vonalba és azóta nem vagyok nyugodt..

Szét lehet égetni egy számítógépet, de nem úgy, hogy a számítógépnek mondod hogy menj tönkre, hanem egy PLC-nek küldesz parancsokat, ami olyan terheléseket generál a helyi hálózatban, ami majd hazavágja a gépedet...

Vájt fülekkel rendelkezőknek: annyit mondok: TELNET, 2020-ban... No comment

Félreérthető voltam: Kamm idézett egy szakértőt, aki szerint "porrá kell égetni" és onnan újjáépíteni a hálózatokat, mert annyira kompromittálódtak.

 

[kamm]

Ugye jól értem, hogy ez a porrá égetés egészen a hardverek szintjéig is szükséges lehet? Már a szoftveres újjáépítés is horror munka ekkora léptékben, de ha a vasak nagy része is cserélendő, az kb. sci-fi kategória.

Kepletesen ertette, de csak felig, mert praktikusan ez ugy mukodik, hogy egy vadonatuj halot tesznek be, a regit meg attoljak oda, ahol a forensic team elkezdhet vele dolgozni. (Amugy igen, letezik hardware-szintu hack is, de ma mar nemigen vannak FPGAk kartyakon, no meg minden normalisabb, komolyabb rendszer virtualizalt es encrypted, a hardware layer semmit nem lat a file system szintjebol.)

Erdekes lesz majd nezni a Dell, HP stb legkozelebbi negyedeves szamait, ezek a kormanyzati ugynoksegek tiz-szazres mennyisegben futtatnak gepeket, kivancsi leszek, lathato lesz-e hirtelen par megugro rendeles pl server avagy dekstop kategoriaban...

 

[bel]

Honnét veszed, hogy az FSZB volt?

Szia,

A forraslista:

Kamm egyik linkje szerint:
"According to a Reuters story, hackers believed to be working for Russia have been monitoring internal email traffic at the U.S. Treasury and Commerce departments."

Kamm masik linkje alapjan:
"Hackers backed by a nation-state—two US senators who received private briefings say it was Russia—managed to take over SolarWinds’ software build system and push a security update infused with a backdoor."

Ozymandias linkje alapjan:
"Washington Post also reports that, according to sources, the state-backed hacking group behind the FireEye security breach is the Russian cyberespionage group APT29 (aka Cozy Bear)."

Illetve amit en meg csutortokon linkeltem:
"A Reuters írta meg először, hogy a forrásai szerint Oroszország állhat a támadás mögött, majd a Washington Post pontosította, hogy értesülései szerint a Cozy Bear vagy APT29 néven ismert, állami kötődésű orosz hekkercsoportról lehet szó.A Cozy Beart két KGB-utódszervezethez, a kémelhárításért felelős, de külföldön is aktív FSZB-hez, illetve a hírszerzést végző SZVR-hez szokták kötni, ennek megfelelően elsősorban diplomáciai, katonai és politikai szervezeteket vesz célba. Legalább 2008 óta aktív, amikor az orosz-grúz konfliktus alatt részt vett szinte a teljes grúz internet megbénításában, de azóta Brazíliától Japánon át Új-Zélandig a fél világot végighekkelte. Az Egyesült Államokban már az Obama-adminisztráció idején is aktív volt, hozzá köthető a külügyminisztérium, a Pentagon és a Fehér Ház levelezésének 2014-2015-ös feltörése is."

 

[kamm]

Szia,

A forraslista:

Kamm egyik linkje szerint:
"According to a Reuters story, hackers believed to be working for Russia have been monitoring internal email traffic at the U.S. Treasury and Commerce departments."

Kamm masik linkje alapjan:
"Hackers backed by a nation-state—two US senators who received private briefings say it was Russia—managed to take over SolarWinds’ software build system and push a security update infused with a backdoor."

Ozymandias linkje alapjan:
"Washington Post also reports that, according to sources, the state-backed hacking group behind the FireEye security breach is the Russian cyberespionage group APT29 (aka Cozy Bear)."

Illetve amit en meg csutortokon linkeltem:
"A Reuters írta meg először, hogy a forrásai szerint Oroszország állhat a támadás mögött, majd a Washington Post pontosította, hogy értesülései szerint a Cozy Bear vagy APT29 néven ismert, állami kötődésű orosz hekkercsoportról lehet szó.A Cozy Beart két KGB-utódszervezethez, a kémelhárításért felelős, de külföldön is aktív FSZB-hez, illetve a hírszerzést végző SZVR-hez szokták kötni, ennek megfelelően elsősorban diplomáciai, katonai és politikai szervezeteket vesz célba. Legalább 2008 óta aktív, amikor az orosz-grúz konfliktus alatt részt vett szinte a teljes grúz internet megbénításában, de azóta Brazíliától Japánon át Új-Zélandig a fél világot végighekkelte. Az Egyesült Államokban már az Obama-adminisztráció idején is aktív volt, hozzá köthető a külügyminisztérium, a Pentagon és a Fehér Ház levelezésének 2014-2015-ös feltörése is."

Ebbol az egvilagon semmi sem bizonyitott, raadasul mind ugyanazon single forrasra hivatkozik, nevezetesen a teljesen korrupt, manipulalhato Szenatusra, azon belul is mindossze ketto (!) emberre, akik "private" briefinget kaptak, gondolom a DNI alatartozo 14 (!) kulonbozo hirszerzo ugynoksegek kozul partol - utobbiakrol koztudott, hogy gatlastalanul hazudnak meg a szenatoroknak is, sot, volt hogy meghekkeltek a szenatusi vizsgalobizottsag gepeit, raadasul a CIA, akinek tilos mindenfele belfoldi muvelet, plane amerikaiak, kulon plane a torvenyhozok ellen, akik eppen oket vizsgaljak.

En egy szot nem hiszek az amerikai sajtonak, mert butak es korruptak. Majd ha olyanok, mint Schneier es masok meggyozoen el tudjak magyarazni, akkor talan elhiszem, mert nekik a renomejuk all rajta - mert ugye a hirszerzok sosem mutatnak be semmi konkret bizonyitekot, a szenatorok meg nagyreszt 70 feletti tokhulye, korrupt venemberek.

 

[boki]

Ebbol az egvilagon semmi sem bizonyitott, raadasul mind ugyanazon single forrasra hivatkozik, nevezetesen a teljesen korrupt, manipulalhato Szenatusra, azon belul is mindossze ketto (!) emberre, akik "private" briefinget kaptak, gondolom a DNI alatartozo 14 (!) kulonbozo hirszerzo ugynoksegek kozul partol - utobbiakrol koztudott, hogy gatlastalanul hazudnak meg a szenatoroknak is, sot, volt hogy meghekkeltek a szenatusi vizsgalobizottsag gepeit, raadasul a CIA, akinek tilos mindenfele belfoldi muvelet, plane amerikaiak, kulon plane a torvenyhozok ellen, akik eppen oket vizsgaljak.

En egy szot nem hiszek az amerikai sajtonak, mert butak es korruptak. Majd ha olyanok, mint Schneier es masok meggyozoen el tudjak magyarazni, akkor talan elhiszem, mert nekik a renomejuk all rajta - mert ugye a hirszerzok sosem mutatnak be semmi konkret bizonyitekot, a szenatorok meg nagyreszt 70 feletti tokhulye, korrupt venemberek.

Szerintem is ez egy olyan hír, mint amikor az amerikai sajtó lehozta, hogy az oroszok pénzt fizetnek a Talibannak, hogy amerikai katonákat öljenek Afganisztánban.
Ezt hivatalosan sosem erősítette meg semTrump, sem a Pentagon, sem a Külügy.Mint utóbb kiderült kamu volt az egész.

 

[kamm]

Szerintem is ez egy olyan hír, mint amikor az amerikai sajtó lehozta, hogy az oroszok pénzt fizetnek a Talibannak, hogy amerikai katonákat öljenek Afganisztánban.
Ezt hivatalosan sosem erősítette meg semTrump, sem a Pentagon, sem a Külügy.Mint utóbb kiderült kamu volt az egész.

Rengeteg ilyen megy, ez mar az iraki haboru ota minimum koztudott kellene, hogy legyen.