Názory k článku Postřehy z bezpečnosti: hrozba útoků na významné cíle v Česku

Zaciname byt obeti velmi zjednodusenych zaveru. Co se pise v tisku pro laickou verejnost: Organizuje to cizí mocnost. Začíná se ukazovat, že by za tím mohlo být Rusko. Vedou tam IP adresy.

Ano, to je pravda. Jednu z tech "utocnych" ruskych IP, se kterymi nase organy pracuji jsem proveroval. Dokonce jsem nasel druhou, o ktere nam nikdo nerekl a ktera mela stejny SSH fingerprint. Analyzou incidentu z udane adresy a nasledne overenim toho, co na te IP bezi se doslo k tomu, ze za tim "utokem" realne stoji jenom Kinsing malware. Na ruske IP v nejmenovanem hostingu asi jenom scanner, vlastni malware se stahuje prozmenu z Holandska - a i v tuhle chvili to je aktivni. Ale to uz nikdo nerekne. Politika holt ovlivnuje i praktickou kyberbezpecnost, resp. jeji interpretaci. Zvlaste v dobe, kdy je na stole zakon o posilovani pravomoci vojenskych zpravodajcu je asi potreba vyvolat pocit strachu, i kdyz jde jen o dalsi z mnoha breberek, jejiz fungovani je zalozeno na lidske blbosti (klikani na kdejakou ptakovinu, co prijde) a lenosti (nezajisteni pravidelnych aktualizaci provozovanych systemu).

Samotny malware je kazdopadne zajimavy, pokud vim v postrezich se o nem nepsalo ;-) Pro mnozeni se to mimo jine vyhledava treba i PHP remote code execution zranitelnosti v ruznych aplikacich, a pri uspechu si to pres shell_exec curlem stahne a nasledne spusti dalsi kod...
https://blog.aquasec.com/threat-alert-kinsing-malware-container-vulnerability

Odkud berete tu jistotu, že NÚKIB toho o tom útoku ví tak málo, jako vy?

Tak treba tohle a tohle si to stahuje a pousti. Mam i IPcka toho, s cim si to povida dal. A rekl bych, ze ty IP adresy, se kterymi se navaze nasledna komunikace po spusteni tech "procesu" z jiz infikovanych stroju jsou asi podstatne zajimavejsi nez ty, co poslali - ty se pouzivaji jenom pro sireni nakazy. Ale koho to zajima... :-)

To ale není odpověď na mou otázku.

Je trochu problém, že se ke kyberbezpečnosti vyjadřují ajťáci, kteří mají pocit, že když něco nemají v logu, tak to neexistuje. Asi jako kdyby se k vyloupení banky vyjadřoval odborník na daktyloskopii a tvrdil by, že policie pachatele nezná, protože nemá jeho otisky prstů, protože na co pachatel sáhl, to ukradl. Takže to byl dokonalý zločin a policie pachatele nikdy nenajde. A policie mezi tím už bude stát před domem pachatele, který se nijak nemaskoval a policie ho tedy snadno identifikovala z kamerového záznamu.

Zatimco Vy zjevne realne schopnosti personalne i financne poddimenzovanych instituci nejspis precenujete. Pritom zcela ignorujete fakt, ze se uz loni mluvilo mimo jine o pretizeni existujicich zamestnancu... a to v dobe, kdy zdaleka nebylo tak rusno jako je dnes.

Danny nerikejte ze jste tak najivny ze verite na 16 leteho hakera co hakuje cely svet ze sve komurky u maminky.
Predstava ze se neco deje z ruske adresy a jejich 3 pismenkove agenturi o nicem nevedi je mozna jeste o level lepsi naivita.

Tak úplně v první řadě znalý ví, že adresa IP vzhledem k možnosti napadení a zneužití kteréhokoliv počítače nevypovídá VŮBEC O NIČEM! Já sám mám na seznamu útočníků adresy z CELÉHO světa včetně udatných a mírumilovných Američanů - co bych z toho podle vás měl dovozovat?

Měl byste si z toho dovodit, že když je řeč o IP adrese, nemusí to být jen IP adresa toho počítače, který na vás přímo útočí. Ten útočící počítač může být ovládán z jiného počítače, a ten zase z jiného – a všechny tyto počítače také mají IP adresy.

Tak tyhle převratné objevy můžete vykládat Sekerákovi. To je o příspěvek nahoru.

Tak z komurky u maminky to skutecne neni :-) Ty mne zname IP ukazuji na ctyri ruzne hostingy v trech ruznych zemich - dost malo na to aby se verohodne urcit, ze za tim stoji nejaka velmoc (natoz pak rict jaka). A samozrejme kazda z tech IP ma v celem tom cirkusu naprosto jiny ucel. Role si peclive rozdeluji.
Samotny Kinsing urcite sestnactilete decko nepsalo, je to vcelku propracovane a promyslene - jak je patrne i ze zverejnenych popisu. Ale porad jde jenom o self-propagating malware... ktery napada stroje, aby na nich tezil kryptomeny. A IP, odkud se to realne stahuje nebo kam se vysledky tezby posilaji a se kterou napadene stroje maji skutecne navazanou komunikaci (neboli C&C) ale zatim zjevne nikdo neresi - resi se jen jeden scanner hledajici derave systemy...
A ocividne to necili jenom na diry v dockerech, mnozi se to i jinymi zpusoby - treba skrze derave PHP aplikace. Zminky o problemovem kdevtmpfsi se daji najit uz z lonska. A rozhodne nikoliv jen ve vztahu ke kriticke ceske infrastrukture ;-)

Ty mne zname IP ukazuji na ctyri ruzne hostingy v trech ruznych zemich - dost malo na to aby se verohodne urcit, ze za tim stoji nejaka velmoc (natoz pak rict jaka).
Ne aby se, ale byste vy mohl určit. Pořád ale zbývá možnost – byť ji ve svých předpokladech nepřipouštíte – že někdo jiný ví víc než vy.

A je nebezpecnejsi adresa vlastniho C&C ovladajici jiz infikovane stroje nebo adresa, ze ktere probihaji jenom scany hledajici nove obeti? :-) Jenze ty zjevne C&C, se kterymi se pak komunikace navaze zatim nikdo neresil - byt z meho pohledu je i pro zpetne dohledani jiz nakazenych stroju podstatnejsi.

Pokud jsem to pochopil z různých vyjádření, tak se má jednat o phising/spear-phising přes email.
Jenže takové emaily chodily již dříve a stále budou chodit. Ale nijak se to veřejně neřešilo.
Chodí jich víc? Možná, ale to by musel sdělit někdo interní jak to je.

Ať je to tak či tak, přijde mi, že celý mediální humbuk je takové strašení a záminka do budoucnosti,
aby prošel záměr Vojenského zpravodajství na instalaci těch svých šmírovacích krabiček.
Před cca 3 lety jim to nevyšlo a pokud si pamatuji, tak jako záminku zmiňovali i ochranu nemocnic apod.

A teď to zajímavé:
- od března 2020 je novým šéfem NÚKIBu Karel Řehka
- bývalý velitel 601. skupiny speciálních sil v Prostějově v letech 2010 - 2014
- následně stál v čele Ředitelství speciálních sil ministerstva obrany

A teď to zajímavé:
- 601. skss byla v letech 2010 - 2014 pod Vojenským zpravodajstvím
- od 1. ledna byla vyčleněna pod GŠ a do Armády pod "Ředitelství speciálních sil ministerstva obrany"

Myslím, že účel světí prostředky.

Asi tak. Stát (resp. jeho instituce) ať se starají o svou bezpečnost a do ničeho jiného nevrtají (ve skutečnosti jsou to jen záminky, jak mít možnost šmírovat tam, kde to zatím nejde, nikoliv snaha někoho chránit). Dřív to tak bylo a nevidím důvod, proč by tomu tak do budoucna mělo být jinak.

Já nevím, co dostali ti, co naletěli. Ale chodí mi (jako kde komu) takové věci, alespoň občas. Něco je k pousmání (ale přesto se občas někdo zeptá, co se děje). A některé jsou cílené: tedy poměrně slušně okopírovaná stránka třeba firemního webmailu, a tam už riziko nepozornosti může být - uživatel klikne, zadá přihlašovací údaje a pak teprve nastane údiv, že to nefunguje. Když mu nedojde, že právě prozradil své přístupové údaje, je zaděláno na malér.
Ano, blbost uživatelů, ale nemyslete si, že je všechny zastaví divná čeština nebo divný podpis v mailu.
Potíž je v tom, že ten divný mail musí zastavit VŠECHNY - a při větším počtu lidí se skoro jistě najde někdo, kdo naletí.

21. 4. 2020, 07:27 editováno autorem komentáře