Vlákno názorů k článku
Garmin opět spouští služby napadené ransomware od byCx - "We have no indication that any customer data,...

Jenže to, že útočník získal přístup k přihlašovacím údajům, je pořád jen vaše ničím nepodložená spekulace. Z vyjádření Garminu naopak vyplývá, že nemají důvod domnívat se, že útočník měl k těm údajům přístup.

Takže na příkladu s kartou by to bylo takhle: Někdo mi z kapsy batohu ukradl peněženku, ve které jsem měl jenom hotovost. Kartu jsem měl v tu chvíli hluboko v batohu a teď jí držím v ruce, takže nemám žádný důvod domnívat se, že ji zloděj ukradl nebo okopíroval. Budu ji blokovat?

Myslím, že to provozovatelé Garminu vědí, že spousta uživatelů používá všude stejná hesla. Takže kdyby měli podezření na to, že hesla mohla uniknout, raději by sami doporučili lidem změnit heslo, než aby čekali, až se ten únik provalí.

Otázka je - věřím v tomhle Garminu?

Máte důvod jim nevěřit? Ztratili by něco tím, kdyby po několikadenním výpadku napsali „raději si změňte hesla“?

Abys jim věřil, musíš věřit minimálně
- jejich dobrým úmyslům
- jejich kompetenci

Dáváš na obě ano?

Ano. (V případě druhé otázky jde o kompetenci poznat, které systémy byly napadeny.)

Vy stále bůhví proč předpokládáte, že útočník měl přístup ke všem datům. Zřejmě si to představujete, že mají jeden server, a tam mají v jednom souboru přihlašovací jména a hesla, v druhém souboru údaje o platbách, ve třetím souboru záznamy sportovních aktivit. Ale tak to s velmi vysokou pravděpodobností není. S vysokou pravděpodobností mají těch systémů více a podle těch vyjádření to vypadá, že útočník neměl přístup k systému, kdy by byla uživatelská data.

Představte si to třeba na e-shopu – má web a na jiné serveru databázi. Pokud jim ransomware zašifruje server s webem, vůbec to neznamená, že měl přístup i k databázi.

Pokud útočník zašifruje sever s webem, měl přístup k údajům k databázi a mohl tak získat data co v ní jsou. V logu databáze by to bylo jen jako další připojení z web serveru. Pokud někdo selektivně vytáhne jen to důležité v delším časovém horizontu, nepoznáte to ani na NetFlow.

Já fakt nevím o co se tu snažíte. Je tu nenulová možnost, že ta data někdo získal, bez ohledu na to, co Garmin prezentuje. Garmin nám neřekl co vlastně bylo napadané, takže nejbezpečnější varianta pro mě jako uživatele je předpokládat, že měl útočník přístup ke všemu. Mají spoustu důvodů neříkat vše a změna hesla je to nejmenší co mohu ze své strany udělat.

Přesně tak. Náklady na změnu hesla jsou minimální.

> Pokud útočník zašifruje sever s webem, měl přístup k údajům k databázi

Tohle rozhodně není a ani by nemělo být pravidlo, ale jinak souhlas.

Ne? Vysvetlit.

Z logiky veci zdrojove kody vyzadujici db backend maji v sobe ulozeny udaje pro pristup k potrebnym db.

Z logiky veci zdrojove kody vyzadujici db backend maji v sobe ulozeny udaje pro pristup k potrebnym db.
To fakt ne. Přístupové údaje nemají ve zdrojovém kódu co dělat.

>Z logiky veci zdrojove kody vyzadujici db backend maji v sobe ulozeny udaje pro pristup k potrebnym db.

Špatně je už ta premisa že web vyžaduje DB backend. Celkem obvykle je u větších projektů databáze až za nějakým interním API / RPC. Útočník pak přihlašovací údaje nezíská.

Pokud útočník zašifruje sever s webem, měl přístup k údajům k databázi a mohl tak získat data co v ní jsou.
Nikoli.

Je tu nenulová možnost, že ta data někdo získal, bez ohledu na to, co Garmin prezentuje. Garmin nám neřekl co vlastně bylo napadané, takže nejbezpečnější varianta pro mě jako uživatele je předpokládat, že měl útočník přístup ke všemu. Mají spoustu důvodů neříkat vše a změna hesla je to nejmenší co mohu ze své strany udělat.
Předpokládáte, že Garmin lže. K čemu vám v takovém případě změna hesla bude? Co když vám lžou i v tom, že útočník už nemá do systémů přístup? Ano, změna hesla má nízké nálady. Ale její přínos je spíš z říše snů – musel jste si vyfabulovat dost specifickou situaci, ve které ta změna hesla pomůže.

Já fakt nevím o co se tu snažíte.
Jenom jsem se chtěl dozvědět, zda máte svá tvrzení něčím podložená. Myslím, že už je jasné, že nemáte – pouze Garminu někdy věříte, někdy nevěříte, podle toho, co se vám zrovna hodí.

Nepředpokládám, že Garmin lže, ale zároveň vím, že neřekl všechno. Je tam moc otevřených otázek, takže pro uživatele je výhodnější připravit se na nejhorší. Je to pořád služba, která řeší platby a nechci, aby můj profil byl veřejně dostupný. Vám možná stačí věta:

"We have no indication that any customer data, including payment information from Garmin Pay, was accessed, lost or stolen."

Mě ale ne. Garmin nebude NIKDY schopen vyloučit možnost úniku dat, bez ohledu na množství vágních vyjádření o tom, že nic nenašli. Vzhledem k formě útoku to jednoduše není možné - na tom serveru někdo spustil vlastní kód s právy pro přístup k datům!

Pokud Garmin najde způsob, kterým se tam útočník či útočníci dostali a opraví ho, zabrání jim změna hesla k dalšímu přístupu k mému profilu. Myslím, že o tomhle není vůbec potřeba polemizovat. Nikdo vás nenutí to heslo měnit, ale je nesmysl říkat, že to nemá žádný efekt. Je to kromě zrušení karty jediná věc, co v téhle situaci můžete udělat. O nic vás to nepřipraví, ale může to hodně pomoci.

Nepředpokládám, že Garmin lže
Když Garmin tvrdí, že k uživatelským datům se útočník nedostal, a vy předpokládáte, že se k uživatelským datům dostal, předpokládáte, že Garmin lže.

na tom serveru někdo spustil vlastní kód s právy pro přístup k datům
Váš problém je v tom, že si pořád představujete, že celá infrastruktura Garminu je jeden jediný server.

Pokud Garmin najde způsob, kterým se tam útočník či útočníci dostali a opraví ho
Je velice pravděpodobné, že to už udělali. Znovu startovat služby s tím, že nejspíš za týden skončí znovu se stejným problémem, by bylo dost hloupé.

Myslím, že o tomhle není vůbec potřeba polemizovat.
O tom také nikdo nepolemizuje. Polemizuju o vaší naivní představě, že celá infrastruktura Garminu je jeden jediný server s webem napsaným v PHP a přístupovými údaji k databázi uloženými ve zdrojáku toho PHP.

je nesmysl říkat, že to nemá žádný efekt
Já netvrdím, že to nemá žádný efekt. Říkám jenom to, že pravděpodobnost, že to něčemu pomůže, je blízká nule. Nevím, proč by bylo nesmyslné říkat pravdu.

O nic vás to nepřipraví, ale může to hodně pomoci.
Jak jsem psal, s tím, co teď víme, je pravděpodobnost situace, že to něčemu pomůže, extrémně nízká. Přirovnal bych to k nošení alobalové čepičky. Taky vás to o nic nepřipraví, je to jediná věc, kterou můžete udělat proti 5G sítím, a může to hodně pomoci – v tom velmi nepravděpodobném případě, že se věda totálně mýlí v tom, jak elektromagnetické záření působí na lidský organismus.

Tu představu jednoho serveru mi pořád předhazujete, ale je to jen věc, co jste si tam někde vykouzlil, abyste měl proti čemu argumentovat. Já to ale nikdy neřekl. Vždyť ani jeden z nás neví jak to mají udělané, tak co vás vede k názoru, že je všechno v pořádku a nestojí to ani za změnu hesla? To že napsal, že zatím nic nenašel?

Garmin ve svém prohlášení nelže, jenom je tak vágní, že si člověk neudělá představu, co se tam vlastně stalo. Jsou v něm jednoduše otevřena dvířka na další pokračování.

Srovnávat paniku kolem 5G se změnou hesla je stejně mimo jako to přirovnání s ukradenou peněženkou z batohu.

Tu představu jednoho serveru mi pořád předhazujete
Opakovaně tu tvrdíte, že když měli přístup k jednomu systému, měli přístup ke všemu, protože útočníkův kód měl právo číst všechna data. To by bylo splněno jedině za předpokladu, že že jsou všechna data uložená na jednom serveru.

Vždyť ani jeden z nás neví jak to mají udělané, tak co vás vede k názoru, že je všechno v pořádku a nestojí to ani za změnu hesla?
Vyjádření Garminu. Když si porovnám, co o situaci asi ví Garmin a co vy, vychází mi z toho, že toho mnohem víc ví Garmin, takže věřím jejich vyjádřením a ne vašim.

To že napsal, že zatím nic nenašel?
Oni ale napsali něco jiného.

Srovnávat paniku kolem 5G se změnou hesla je stejně mimo jako to přirovnání s ukradenou peněženkou z batohu.
Není to mimo. Přesně to ukazuje váš přístup k věci – vyberete si nějakou zcela nepravděpodobnou možnost a nafouknete ji do obřích rozměrů.

Jak tak věříš kompetenci Garminu... Napadlo mne... Nechtěl bys koupit Karlštejn? Udělal bych ti cenu ;-)

Jak tak věříš kompetenci Garminu... Napadlo mne... Nechtěl bys koupit Karlštejn? Udělal bych ti cenu ;-)
Ta závorka v mém komentáři tam nebyla náhodou.

Ne, netvrdím. Je to jen něco co jste si vymyslel, abyste mohl pokračovat v této diskusi. Celou dobu se vám snažím vysvětlit, že netušíme co bylo napadené a tak je bezpečnější předpokládat, že všechno.

Garmin únik dat nevyloučil, takže opírat svá tvrzení o něj je nesmysl. Vám stačí jedna vágní věta, abyste byl v klidu. Já mám teda od firmy, která řeší platby, úplně jiná očekávání co se týče komunikace.

Oni napsali, že nic nenašli. Něco jiného tam možná vidíte vy.

Já nic nenafukuju, jen říkám, že je lepší si změnit heslo, protože útočníci měli přístup k nějakým datům. Garmin neřekl k jakým, tak je bezpečnější předpokládat, že ke všem.

Ne, netvrdím.
V tom případě vám někdo unesl účet. Protože v komentáři psané vaším jménem bylo např. tohle:
„na tom serveru někdo spustil vlastní kód s právy pro přístup k datům!“
Všimněte si třeba toho jednotného čísla, „na tom serveru“.

netušíme co bylo napadené
Vy to možná netušíte, já jsem si přečetl zprávičku, takže to tuším.

tak je bezpečnější předpokládat, že všechno
To samé ale platilo i před čtrnácti dny a bude to platit za čtrnáct dní. Měnil jste si heslo u Garmina před čtrnácti dny? A budete si ho měnit znovu za čtrnáct dní?

Garmin únik dat nevyloučil, takže opírat svá tvrzení o něj je nesmysl.
Není to nesmysl. Kdyby Garmin dat únik dat vyloučil, bylo by na místě mít se na pozoru – protože by zjevně lhali. Únik dat nemohou vyloučit nikdy. Ale tomu, co napsali, se dá věřit – „nemáme žádný důvod domnívat se, že nějaká data unikla“. To je férové tvrzení, nemám důvod si myslet, že by bylo nepravdivé. Kdybych byl někdy v situaci, že by se někdo dostal do mého systému a já bych po prozkoumání dospěl k závěru, že žádná data nezískal, formuloval bych závěr takhle nějak.

Vám stačí jedna vágní věta, abyste byl v klidu.
Ta „vágní věta“ pořád dává smysl asi tak tisíckrát víc, než vaše komentáře.

Já nic nenafukuju, jen říkám, že je lepší si změnit heslo, protože útočníci měli přístup k nějakým datům.
Původně jste psal, že museli mít přístup ke všem datům. Teď už jste to zmírnil na „nějaká“ data. Jenže pořád je to vaše tvrzení proti tvrzení Garminu, nemůžou být pravdivá obě dvě tvrzení současně. A pořád jsme se nedozvědeli, na základě čeho se domníváte, že Garmin lže.

Garmin neřekl k jakým, tak je bezpečnější předpokládat, že ke všem.
Garmin řekl, že podle toho, co zjistili, neměl útočník přístup k uživatelským datům. Vy nepotřebujete vědět, k jakým datům měl útočník přístup, vy potřebujete vědět, že neměl přístup k uživatelským datům. A to Garmin zveřejnil.

Můžete mi vysvětlit, jak dokážete zašifrovat něčí data, aniž byste k nim měl přístup?

Můžete mi vysvětlit, jak dokážete zašifrovat něčí data, aniž byste k nim měl přístup?
Nedokážu. A nevím, proč bych vám to měl vysvětlovat, když jsem nikde nic takového netvrdil. A už mne ty vaše rosolovité komentáře nebaví. Nejdřív tvrdíte, že jim vše běželo na jednom serveru, pak zase, že klidně na více. Nejdřív tvrdíte, že útočník měl přístup ke všem datům, pak to popíráte, a pak zase podsouváte otázku, která předpokládá, že měl útočník přístup ke všem datům.

Takže speciálně pro vás ještě jednou jeden příklad, který už jsem tu psal. Dokud ho nepochopíte, tak nepište další komentáře. Představte si jednoduchý e-shop, který má prezentační vrstvu (web napsaný v PHP), aplikační vrstvu (aplikační server, byznys logiku) a databázi. Útočník získá přístupna server s prezentační vrstvou a zašifruje všechny PHP soubory. Jak se to projeví navenek? E-shop přestane fungovat. Dokázal útočník zašifrovat data, ke kterým neměl přístup? Ne, zašifroval jenom data, ke kterým přístup měl. Měl útočník přístup k uživatelským datům? Ne, neměl, data jsou uložená v databázi a k té se útočník nedostal.

Už to konečně chápete? Přičemž infrastruktura Garmina asi bude kapánek složitější, než tři servery. Už chápete, že když v provázaném systému služeb útočník napadne jednu nebo několik služeb, může tím vyřadit celý komplex služeb, aniž by k většině z nich měl jakýkoli přístup? Už chápete, že když Garmin zjistil napadení nějakého ne zcela okrajového systému, bylo v jeho nejlepším zájmu vypnout to celé a začít zjišťovat, co přesně a jak je napadené, než aby vypnuli jednu službu a pak za provozu zjišťovali, že jim třeba útočník loupe perníček i někde jinde? Už chápete, že množina nefunkčních služeb bude takřka jistě mnohem větší, než množina útočníkem reálně napadených služeb? Už chápete, že vaše fabulace o tom, které služby byly napadené, nemají žádné opodstatnění?

Ve vašem příkladu má útočník přístup ke kódu, který může upravit a získat tak uživatelská data. Získá také k přístup k té aplikační vrstvě, i když jenom k jejímu rozhraní. Nemá tedy přístup ke všemu, ale už toho moc chybět nebude, včetně hesel co tam od začátku napadení protekla.

Ano, v mém příkladu může útočník kód upravit – ale už nevíte, zda by se provozovatel o té změně nedozvěděl. Možná že by dokázal i zpětně s vysokou mírou jistoty vyloučit, že nedošlo ke změně.

No a ten můj příklad byl samozřejmě velmi zjednodušený, infrastruktura Garminu je pravděpodobně složitější. Takže množství hesel, které proteklo přes napadenou infrastrukturu, klidně může být. A dá se předpokládat, že Garmin ví, která část infrastruktury byla napadena a přes kterou tečou hesla.

Každopádně pokud útočník získal přístup k heslům, není pravdivé tvrzení, že nezískal přístup k žádným uživatelským datům. Pak jsou dvě možnosti – buď Garmin lže, nebo jejich analýza problému byla nedostatečná a neodhalili, co útočník v jejich infrastruktuře dělal. Myslím, že ani v jednom případě toho změna hesla moc nezachrání.

Pořád to vnímáte hrozně černobíle. Garmin nemusí lhát, jednoduše je ve svých vyjádřeních velmi stručný a nic nepotvrdil ani nevyvrátil. Ale tak to už tu píšu asi popáté a pořád to nějak nepadá na úrodnou půdu. Od toho "Už chápete" eposu je mi jasné, že do toho taháte emoce a tak asi nemá smysl to nějak rozvádět, jen bych se opakoval.

Na odkazech níže je popsané, jak útok na Garmin probíhal. Podle toho co tam píší je jasné, že to, zda se útočníkům podařilo odcizit nějaká data, bylo čistě na jejich vůli. Víc k tomu už asi nejde říct.

https://www.bleepingcomputer.com/news/security/garmin-outage-caused-by-confirmed-wastedlocker-ransomware-attack/

https://cyclingtips.com/2020/07/how-did-the-garmin-cyber-attack-happen-and-what-does-it-mean-for-users/

Garmin tvrdí, že uživatelská data neunikla. Vy tvrdíte, že uživatelská data mohla uniknout. Oba výroky nemohou být pravdivé současně, ani když to napíšete po šesté.

Pokud byste měl potřebu na tenhle komentář odpovídat, raději si místo toho přečtěte toto: „Nebyl zjištěn žádný únik uživatelských dat.“ Je to citace ze zprávičky. Garmin tedy únik uživatelských dat vyvrátil.

Podle toho co tam píší je jasné, že to, zda se útočníkům podařilo odcizit nějaká data, bylo čistě na jejich vůli.
Děkuji za ty odkazy. Potvrzují ještě menší dopad útoku, než jsem si myslel (myslel jsem si, že nějaká část produkčního systému zasažena byla). Totiž že provozní síť (zjednodušeně servery s aplikacemi) napadena vůbec nebyla, že útokem byla postižena jen kancelářská síť (zjednodušeně pracovní stanice zaměstnanců). Výpadek služeb byl způsobený prostě tím, že je raději preventivně vypnuli (což byl logický krok).

Ano, ransomware mohl odcizit nějaká data. Z notebooku zaměstnance. A tam uživatelská data fakt nejsou.

Víc k tomu už asi nejde říct.
Ještě se k tomu dá říct to, že teď už je evidentní, že je to zcela mimo váš obor. A jenom planě spekulujete na základě jakýchsi velmi povrchních znalostí bůhví čeho. Takže klidně nalinkujete dva články, které opět vyvracejí vaše spekulace, ale berete je jako důkaz svých tvrzení – protože jste je možná přečetl, ale vůbec netušíte, o čem se tam vlastně píše.