Ugyanez, mas stilusban: kiber.blog.hu/2020/12/15/tovaris_grincs_es_a_karacsony_egy_nehez_het_kronikaja
Kiberhadviselés
- Téma indítója Terminator
- Indítva
-
Ha nem vagy kibékülve az alapértelmezettnek beállított sötét sablonnal, akkor a korábbi ígéretnek megfelelően bármikor átválthatsz a korábbi világos színekkel dolgozó kinézetre.
Ehhez görgess a lap aljára és a baloldalon keresd a HTKA Dark feliratú gombot. Kattints rá, majd a megnyíló ablakban válaszd a HTKA Light lehetőséget. Választásod a böngésződ elmenti cookie-ba, így amikor legközelebb érkezel ezt a műveletsort nem kell megismételned. -
Az elmúlt időszak tapasztalatai alapján házirendet kapott a topic.
Ezen témában - a fórumon rendhagyó módon - az oldal üzemeltetője saját álláspontja, meggyőződése alapján nem enged bizonyos véleményeket, mivel meglátása szerint az káros a járványhelyzet enyhítését célzó törekvésekre.
Kérünk, hogy a vírus veszélyességét kétségbe vonó, oltásellenes véleményed más platformon fejtsd ki. Nálunk ennek nincs helye. Az ilyen hozzászólásokért 1 alkalommal figyelmeztetés jár, majd folytatása esetén a témáról letiltás. Arra is kérünk, hogy a fórum más témáiba ne vigyétek át, mert azért viszont már a fórum egészéről letiltás járhat hosszabb-rövidebb időre.
-
Az elmúlt időszak tapasztalatai alapján frissített házirendet kapott a topic.
--- VÁLTOZÁS A MODERÁLÁSBAN ---
A források, hírek preferáltak. Azoknak, akik veszik a fáradságot és összegyűjtik ezeket a főként harcokkal, a háború jelenlegi állásával és haditechnika szempontjából érdekes híreket, (mindegy milyen oldali) forrásokkal alátámasztják és bonuszként legalább a címet egy google fordítóba berakják, azoknak ismételten köszönjük az áldozatos munkáját és további kitartást kívánunk nekik!
Ami nem a topik témájába vág vagy akár csak erősebb hangnemben is kerül megfogalmazásra, az valamilyen formában szankcionálva lesz
Minden olyan hozzászólásért ami nem hír, vagy szorosan a konfliktushoz kapcsolódó vélemény / elemzés azért instant 3 nap topic letiltás jár. Aki pedig ezzel trükközne és folytatná másik topicban annak 2 hónap fórum ban a jussa.
K
kamm
Guest
Ideat az egesz sajto teli tudobol oridtja az NSA- ill lehallgato-iparag mondokajat, miszerint OROSZOK! OROSZOK! OROSZOK!
MIndekozben kiderult, hogy a Solarwinds egyetlen kozponti update servert (clustert) hasznalt a frissitesekhez/patchekhez, amin az adminisztrativ login passwordje HONAPOKON AT "solarwinds123" volt, amint az raadasul egy security analyst kozze is tette figyelmeztetesul, de semmi nem tortent.
Ezek utan semmibe nem kerul egy tapasztaltabb tarsasagnak betenni valami remote exploitot valamelyik patchbe avagy ezen a kozponti update halozaton keresztul az osszes kliensoldali Solarwinds rendszerbe belepni, ott sajat bejaratot csinalni, majd azon keresztul mar gyerekjatek a korulottuk levo halozatokat teljesen kompromittalni.
Bruce Schneier azt irja a blogjan, hogy gyakorlatilag "progi kell egetni minden erintett halozatot" es ezzel sajnos egyetertek, ezen a ponton lehetetlen tudni, mikor 'tszita' ujra egy halozat, no meg a mitigation process annyi lenne (izolalni mindegyiket, majd azokon belul a servereket ujrahuzni, vegigmenni egyesevel, backupokat nem hasznalni, mert nem tudjuk, mikori a behatolas, mindekozben masik, uj ideiglenes kiszolgalokat es halot uzembe helyezni stb), hogy ertelmetlen ra kolteni a forensic prceudre kotelezo lepesein tul, de az meg mar az FBI es a CISA dolga.
Schneiert tisztelem es elismerem, de ebbol nekem meg nem kovetkezik, hogy state-level actor lenne mogotte, legalabbis nem feltetlenul originkent.
Valoszinu, sot, eleg egyertelmu, hogy egy ponton minimum eladtak nekik a hozzaferest, de ez nem is igazan "hack", hanem egy botranyosan primitiv, amator security lapse, amit kihasznaltak tovabbi hackre. Az meg vegkepp nem vilagos, hogy mitol lennenek pont az oroszok - barki lehetett, sot, szerintem inkabb "gangbang' ment a szovetsegi halozatokon...
K
kamm
Guest
Annyit meg hozzatennek, hogy nem tul meglepo ez az egesz Solarwinds-sztori: ez a ceg mindossze 15-20 eves es kezdettol fogva olcso indiai munkaerot hasznalt mindenre, raadasul osszevasarolta maganak a cuccokat, ugy nott, nem organikusan es nem minosegi alapokon fejlesztve a termekskalat. Engem rengetegszer nyaggattak, de par trial utan mindig megallapitottam, hogy nincs az az isten, hogy en ezekben megbiznek ilyen szinten.
Az ugyfeleik kozott lathatoan nem ez volt a gondolkodasmod: naluk egyertelmuen semmifele risk policyt ill security policyt nem tartottak be, maskulonben kizart lenne egyetlen kulso szallito termkenek a kezebe adni a teljes network feletti hozzaferest.
Nem magamat akarom fenyezni, en ezeknel a szovetsegi megahalozatoknal csak sokkal kisebbeket terveztem ill. uzemeltettem mindig, de mar azoknal sem johetett ilyen szoba sosem: amikor meg nem volt zero-access vendor-side crypto a hasonlo mgmt cuccokban, akkor is bizony kezzel logoltattam be mindenkit, ha admin-level elevation kellett, 2FA generatorral, valamint kulon, restricted system accountok voltak mindenfele automated updatekhez stb. Emellett volt ket masik 24/7 network monintoring tool, amelyek logoltak mindent es ugy voltak konfigolva, hogy egybol riasztottak, ha valahol akarcsak olyan access-level elevation volt, ami nem ismert rutin alapjan ment, barmifele rendszerszintu valtoztatasrol mar nem is beszelve, plusz egymast is figyeltek.
Mindez egyaltalan nem paranoid, hanem egeszseges es elvart halozati biztonsagi norma, szazszor ekkora rendszereknel meg eleve ugye szegmentalni kell a halozatokat es brancheken avagy akar subdomainek szintjen is minimum hasonlo szintet kellene uzemeltetni, akkor nemcsak egybol megfojak, tehat a damage is kisebb, de a mitigation ill cleanup is sokkal egyszerubb es gyorsabb lenne most.
Az ugyfeleik kozott lathatoan nem ez volt a gondolkodasmod: naluk egyertelmuen semmifele risk policyt ill security policyt nem tartottak be, maskulonben kizart lenne egyetlen kulso szallito termkenek a kezebe adni a teljes network feletti hozzaferest.
Nem magamat akarom fenyezni, en ezeknel a szovetsegi megahalozatoknal csak sokkal kisebbeket terveztem ill. uzemeltettem mindig, de mar azoknal sem johetett ilyen szoba sosem: amikor meg nem volt zero-access vendor-side crypto a hasonlo mgmt cuccokban, akkor is bizony kezzel logoltattam be mindenkit, ha admin-level elevation kellett, 2FA generatorral, valamint kulon, restricted system accountok voltak mindenfele automated updatekhez stb. Emellett volt ket masik 24/7 network monintoring tool, amelyek logoltak mindent es ugy voltak konfigolva, hogy egybol riasztottak, ha valahol akarcsak olyan access-level elevation volt, ami nem ismert rutin alapjan ment, barmifele rendszerszintu valtoztatasrol mar nem is beszelve, plusz egymast is figyeltek.
Mindez egyaltalan nem paranoid, hanem egeszseges es elvart halozati biztonsagi norma, szazszor ekkora rendszereknel meg eleve ugye szegmentalni kell a halozatokat es brancheken avagy akar subdomainek szintjen is minimum hasonlo szintet kellene uzemeltetni, akkor nemcsak egybol megfojak, tehat a damage is kisebb, de a mitigation ill cleanup is sokkal egyszerubb es gyorsabb lenne most.
„Ugy mint Putin, én sem szeretem a véletlent, mert túl sok elökészitèst igényel“ 
T
Törölt tag 008
Guest
Megtennéd, hogy pár oldalt betolsz ide? Keresgettem már jó sec oldalakat, de a legtöbb szponzorált szar. Tényleg megbízható független érdekelne (általánosan, nem ezzel kapcsolatban.)
Óóóó, majd ha úgy kezdik, hogy ez x millió usds üzlet +1 ahol te mondod meg a számlaszámot mi meg nem kérdezünk semmit
K
kamm
Guest
Most malacot sutok
- de feljebb ideztem mar Schneiert a Schneier on Security blogjarol, ott van Krebs a krebsonsecurity.com blogjan, news.ycombinator.com, ./ threadek, Techdirt is okes ha nem a legmelyebb tartalmat keresed stb. Nekem van kb 25 evnyi link meg blog meg minden a feed aggregatoromban, hadd ne tegyem mar azt kozkinccse, meg nem tervezem a nyugdijt. 
Es persze figyeld Twittert, az a leggyorsabb mindig, csak egeszseges bizalmatlansaggal kell kezelni.
Óóóó, majd ha úgy kezdik, hogy ez x millió usds üzlet +1 ahol te mondod meg a számlaszámot mi meg nem kérdezünk semmit
Ez itt nem igy megy, ezert itt eveket ulsz, raadasul szovetsegi ugyekben tipikusan sokkal durvabb iteletek szuletnek, mint allamok szintjen - igaz, a szovetsegi bortonokben jobb az ellatas es sokkal biztonsagosabbak is.
W
Wilson
Guest
W
Wilson
Guest
„Ugy mint Putin, én sem szeretem a véletlent, mert túl sok elökészitèst igényel“
Ez jó
https://www.bleepingcomputer.com/ne...attack-the-hack-the-victims-and-what-we-know/Most malacot sutok
Es persze figyeld Twittert, az a leggyorsabb mindig, csak egeszseges bizalmatlansaggal kell kezelni.
Ez itt nem igy megy, ezert itt eveket ulsz, raadasul szovetsegi ugyekben tipikusan sokkal durvabb iteletek szuletnek, mint allamok szintjen - igaz, a szovetsegi bortonokben jobb az ellatas es sokkal biztonsagosabbak is.
még eddig itt írtak róla aránylag részletesen.
Ugye jól értem, hogy ez a porrá égetés egészen a hardverek szintjéig is szükséges lehet? Már a szoftveres újjáépítés is horror munka ekkora léptékben, de ha a vasak nagy része is cserélendő, az kb. sci-fi kategória.
Szia,
En valoszinutlennek erzem, hogy egy szoftveres behatolassal meg lehessen torni a hardvert.
Vagyis szerintem "csak" ujra kell telepiteni a programokat, es ami ennel sokkal nagyobb munka: ujra konfiguralni, a regi beallitasok visszatoltese nelkul.
De persze az en tudasom igen messze van az FSZB mogott,
szoval siman elkepzelheto, hogy ok ismernek olyan hibat, ami alapjan hardvernek tekintett reszbe (pl. lemez firmware) lehet tenni backdoort. De ez szerintem valoszinutlen.Bel
Honnét veszed, hogy az FSZB volt?Szia,
En valoszinutlennek erzem, hogy egy szoftveres behatolassal meg lehessen torni a hardvert.
Vagyis szerintem "csak" ujra kell telepiteni a programokat, es ami ennel sokkal nagyobb munka: ujra konfiguralni, a regi beallitasok visszatoltese nelkul.
De persze az en tudasom igen messze van az FSZB mogott,
Bel
meglepődnél, hogy mennyire egyszerű, ha tudnád, milyen állapotban vannak az ipari berendezések. A PLC-knek vagy a SCADA-knak gyakorlatilag nulla védettségük van. Belemélyedtem az ipari vonalba és azóta nem vagyok nyugodt..
Szét lehet égetni egy számítógépet, de nem úgy, hogy a számítógépnek mondod hogy menj tönkre, hanem egy PLC-nek küldesz parancsokat, ami olyan terheléseket generál a helyi hálózatban, ami majd hazavágja a gépedet...
Vájt fülekkel rendelkezőknek: annyit mondok: TELNET, 2020-ban... No comment
Félreérthető voltam: Kamm idézett egy szakértőt, aki szerint "porrá kell égetni" és onnan újjáépíteni a hálózatokat, mert annyira kompromittálódtak.
K
kamm
Guest
Kepletesen ertette, de csak felig, mert praktikusan ez ugy mukodik, hogy egy vadonatuj halot tesznek be, a regit meg attoljak oda, ahol a forensic team elkezdhet vele dolgozni. (Amugy igen, letezik hardware-szintu hack is, de ma mar nemigen vannak FPGAk kartyakon, no meg minden normalisabb, komolyabb rendszer virtualizalt es encrypted, a hardware layer semmit nem lat a file system szintjebol.)
Erdekes lesz majd nezni a Dell, HP stb legkozelebbi negyedeves szamait, ezek a kormanyzati ugynoksegek tiz-szazres mennyisegben futtatnak gepeket, kivancsi leszek, lathato lesz-e hirtelen par megugro rendeles pl server avagy dekstop kategoriaban...
Szia,
A forraslista:
Kamm egyik linkje szerint:
"According to a Reuters story, hackers believed to be working for Russia have been monitoring internal email traffic at the U.S. Treasury and Commerce departments."
Kamm masik linkje alapjan:
"Hackers backed by a nation-state—two US senators who received private briefings say it was Russia—managed to take over SolarWinds’ software build system and push a security update infused with a backdoor."
Ozymandias linkje alapjan:
"Washington Post also reports that, according to sources, the state-backed hacking group behind the FireEye security breach is the Russian cyberespionage group APT29 (aka Cozy Bear)."
Illetve amit en meg csutortokon linkeltem:
"A Reuters írta meg először, hogy a forrásai szerint Oroszország állhat a támadás mögött, majd a Washington Post pontosította, hogy értesülései szerint a Cozy Bear vagy APT29 néven ismert, állami kötődésű orosz hekkercsoportról lehet szó.A Cozy Beart két KGB-utódszervezethez, a kémelhárításért felelős, de külföldön is aktív FSZB-hez, illetve a hírszerzést végző SZVR-hez szokták kötni, ennek megfelelően elsősorban diplomáciai, katonai és politikai szervezeteket vesz célba. Legalább 2008 óta aktív, amikor az orosz-grúz konfliktus alatt részt vett szinte a teljes grúz internet megbénításában, de azóta Brazíliától Japánon át Új-Zélandig a fél világot végighekkelte. Az Egyesült Államokban már az Obama-adminisztráció idején is aktív volt, hozzá köthető a külügyminisztérium, a Pentagon és a Fehér Ház levelezésének 2014-2015-ös feltörése is."
K
kamm
Guest
Ebbol az egvilagon semmi sem bizonyitott, raadasul mind ugyanazon single forrasra hivatkozik, nevezetesen a teljesen korrupt, manipulalhato Szenatusra, azon belul is mindossze ketto (!) emberre, akik "private" briefinget kaptak, gondolom a DNI alatartozo 14 (!) kulonbozo hirszerzo ugynoksegek kozul partol - utobbiakrol koztudott, hogy gatlastalanul hazudnak meg a szenatoroknak is, sot, volt hogy meghekkeltek a szenatusi vizsgalobizottsag gepeit, raadasul a CIA, akinek tilos mindenfele belfoldi muvelet, plane amerikaiak, kulon plane a torvenyhozok ellen, akik eppen oket vizsgaljak.
En egy szot nem hiszek az amerikai sajtonak, mert butak es korruptak. Majd ha olyanok, mint Schneier es masok meggyozoen el tudjak magyarazni, akkor talan elhiszem, mert nekik a renomejuk all rajta - mert ugye a hirszerzok sosem mutatnak be semmi konkret bizonyitekot, a szenatorok meg nagyreszt 70 feletti tokhulye, korrupt venemberek.
Szerintem is ez egy olyan hír, mint amikor az amerikai sajtó lehozta, hogy az oroszok pénzt fizetnek a Talibannak, hogy amerikai katonákat öljenek Afganisztánban.
Ezt hivatalosan sosem erősítette meg semTrump, sem a Pentagon, sem a Külügy.Mint utóbb kiderült kamu volt az egész.
K
kamm
Guest
Rengeteg ilyen megy, ez mar az iraki haboru ota minimum koztudott kellene, hogy legyen.