[jägaja]

Marie, ma ei saa üldse aru, et miks need tööstuseadmed avalikus internetis üldse istuvad? Masinad teevad tööd ja toodavad midagi, mitte ei käi XYZ lehekülgedel.

[olavsu1]

jägaja, mis moodi sa suurfirmat haldaksid kui ei saa realajas tagasisidet täiturseadmetelt?

suurfirmadel on üks arvuti, mitte palju pisikesi nagu eesti ettevõtetes.

Soovijad saavad imetleda kuidas tehaste ja kontorite vahel info liigub: http://map.norsecorp.com/#/

üks lingike teemasse
http://www.reuters.com/article/us-cyber-attacks-shadowbrokers-idUSKCN18C1N2

ilmselt juunis tuleb ründekomplekt müüki.

[jägaja]

olavsu1, tööstusseadmed ei istu avalikus internetis. Sa ei saa ilmselt aru, mis on tööstusseadmed. Nissani omad ilmselt ka ei saanud sellest aru, et neil tootmine peatus.
PS. Need pole kontoriarvutid.

[Tanel]

olavsu1, Briti haiglad alguses maksidki special tasu mikisoftile XP turvauuenduste saamiseks, aga umbes aasta tagasi lõpetati sellegi maksmine ära, vanu arvuteid aga kasutati edasi.
Seega saab süüdistada vaid Briti terviseministeeriumi juhtametnikke, mitte mikisofti.

[olavsu1]

jägaja, tahate öelda et new yorgi kontori ja hiina tehase tööstusliini vahel on täiesti eraldi kaabeldus? ikka vist üle interneti käib.

[jägaja]

olavsu1, hiina tööstusliini vaevalt et kusagilt teiselt poolt maakera juhitakse.
Meil siin minu tööpraktika põhjal käivad asjad ikka lokaalselt. Ja mingeid tõrkuva protsessijuhtimise asju tehakse ka kaughalduse teel, kuid sellistel puhkudel on tegu ka turvaliste ja ainult selleks hetkeks avatud kanalitega.
Muidugi, meil neid erandeid ka kuhjaga ilmselt. IT risk algab ikka inimese mugavusest ja lohakusest.

[Marie]

[elukaz]

[jägaja]

Marie, loe nüüd uuesti, mõttega. Seadmed ühendatakse turvalise kanaliga netti ainult selleks puhuks, kui on vaja neis mingeid süsteemseid muudatusi teha. Ja seda ei juhtu ka ilmselt väga tihti.
Mingi tootmiseks sobiv programm tehakse kindlasti kohapeal, kuna on vaja siiski kohal olla ja masina või liini tööd jälgida ja seda distantsilt teha ei saa.

[Mnator]

[pppd]

Jeesus Kristus.. mis te adminnite oma masinad/võrke samade näpukestega, mis siia seda kamarajura kirjutavad? Esiteks, natukegi suuremad sisevõrgud segmenteeritake vastavalt otstarbele, tööstusseadmed lähevad oma segmenti, segmentide vahel lubatakse ainult hädavajalikud ühendused, muu keelatakse (ühelgi seadmel pole vajadust piiramatu SMB järgi, eriti veel otse internetist). Erinevates füüsilistes asukohtades asuvad võrgusegmendid tömmatakse omavahel kokku VPN-tunnelitega, läbi lubatakse jällegi ainult vajalikud ühendused. Internetti pääsevad ainult need segmendid/masinad, millel on seda vaja (välismaailmaga suhtlevad serverid ja kontorivõrk) ning seda monitooritakse, nii et kui freespink peaks mingil hetkel üritama Venemaalt porri sikutada, siis hakkavad kellad helisema. Ja kui tõesti on mõnele ebaturvalisele masinale kaughaldust teha, siis selleks on ainult haldamise ajaks lubatud VPN või äärmisel juhul üks pisike auk tulemüüris mingisse DMZ-i. Selline asi nagu üle SMBv1 leviv uss ei tohiks normaalse võrguhalduse juures kuidagi tehase sisevõrgus asuvate tööstusmasinateni jõuda.

[jägaja]

[Mnator]

jägaja, mariele on meie jutud ja printsiibid mõneti uudiseks nagu tema jutust näha ole tähelepanelikum, et kellele on adresseeritud

[pkwild618]

Keegi on Telegammilinnukesed puurist valla päästnud.

[jägaja]

Mnator, my bääd

[Betamax]

[netcat]

[tahanteada]

[netcat]

[Lord Ami]

http://weblog.av-comparatives.org/proactive-protection-wannacry-ransomware/

Huvitav test, et millised turbetarkvarad oleksid Wannacry "proaktiivselt" blokeerinud (ehk ilma signatuurideta).

[ufo56]

[jägaja]

Me sellese ei süüvi, mida IT seal võrgutasanditel toimetab, kuid igal tekkinud vajadusel tuleb seade eelnevalt füüsiliselt võrku ühendada.
Kui ettevõtte tulemüürist ka miski peaks läbi tulema siis ligi ikka ei saa, sest pistik pole seinas.

[mikk36]

[tahanteada]

Väike küsimus - miks te nii hirmsalt paanitsete selle väikse - ning juba paar aastat teada-tuntud, E-kirjade vahendusel leviva Krüptoviiruse, WannaCry, pärast.
Kui need 25 000 kodanikku / või firmade töötajat poleks "lahti tirinud" neid nakatatud E-kirju, siis poleks mingit hädakisa ju olnud.

Ning veel ka see, et Pihtasaamise protsent oli ju üsnagi pisike ning olematu:
A. 5 miljonit, WannaCry-ga nakatatud E-kirja
B. ning siis ainult 250 000 nakatatud E-kirjade avajat.

Protsent kokku: ainult 5% nakatatud E-kirjadest "suutis sihile jõuda".
---------------------
Ja huvitav, kas siis tõepoolest ägedates-vingetes IT-koolides ning IT-kõrgkoolides siis ei õpetata esimese asjana, et:
Ei avata, pimesi, suvalisi E-kirju. Et sellise "pime-avamisega" võib arvutisse jõuda nii mõnigi "pahalane".

Väike ajalootund kah - ma tean küll, et eestlased vihkavad ajalugu ning et kõike varasemat pole mitte kunagi olemas olnud.
Aasta siis oli 1989 ning arvutitesse maabus - Floppide kaasabil - Maailma Esimene Krüptoviirus:


AIDS Trojan or PC Cyborg Ransomware

The AIDS Trojan, also known as the PC Cyborg virus, was the first ever ransomware virus documented. It was released via floppy disk before most of us ever had the opportunity to touch a computer in 1989.

https://www.knowbe4.com/aids-trojan

[olavsu1]

pingviinionud tõstavad pead.

https://linux.slashdot.org/story/17/05/18/1757205/wannacry-makes-an-easy-case-for-linux

[Betamax]

Oot-oot, mis sai high-tech seadmetest, mis ainult XP ja Windows 3.1 toimivad? Nendele on Linuxi driverid varnast võtta?
Aga need pingviinionud tõstavad pead iga suurema Windowsi exploiti järel, aga siiani no one has given any f*cks

[sooty]

Betamax, see ongi osa vandenõust noh. Ei tehta linuxi draivereid, sest linuxile ei saa backdoori sisse ehitada. Pole draiverit, pole linuxit, pole turvalist OSi. Jeesh... Nii iseenesestmõistetav ju. Mulle hakkab tunduma, et sa oled mingi NSA shill siin. Teed whitewashi.

Spoiler

[Betamax]

[olavsu1]

Isegi Irix'it promoti siin kunagi. Kõigeks mõeldavaks pidi sellel olema olemas nii draiverid kui rakendused. Kõige soodsama kasti algasid sealt, kus kõige kallimate PC'de hinnad lõppesid.

Mis tollest esimesest eestisse toodud SGI O2 kastist sai? viidi ameerikasse tagasi?


järjekordne link:

https://it.slashdot.org/story/17/05/19/1317241/french-researchers-find-last-ditch-cure-to-unlock-wannacry-files
http://www.reuters.com/article/us-cyber-attack-cure-idUSKCN18F1CA

pasanteeriale on leitud ravim, mis toimib ainult juhul kui nakatunud arvutusmasinale ei ole tehtud restarti.

[Tanel]

tahanteada, wannacry teadaolevalt ei levinud e-mailide kaudu, vaid NSA loodud EternalBlue tagaukse kaudu
https://en.wikipedia.org/wiki/WannaCry_ransomware_attack

[tahanteada]

[Tanel]

tahanteada,
Sul on asjad ikka totaalselt sassis.

Tõik, et konkreetselt Wannacry ei levinud e-mailide kaudu, ei tähenda, et võiks tundmatu sisuga e-kirju avada.
Üks ei välista ju teist, internetis peab muidugi ettevaatlik olema ning oma arvutite tarkvara hoidma ajakohase.
Krt küll, sellised su targutavad valeväited diskrediteerivad siinset keskkonda,rääkimata sust endast.

[Lord Ami]

Siiski jah, lisaks e-kirjadele levis see mitmel erineval moel. Isegi nakatunud arvutist uude võrku jne...
Huvitav kuulamine pluss infot: https://youtu.be/ZqNSoHFtGM0

[Tanel]

Lord Ami, palun konkreetset viidet sellele. Siiani on ametlik info, et levis tagaukse kaudu.
https://en.wikipedia.org/wiki/EternalBlue

[LKits]

Pole midagi hullu - ostke endale üks NAS, tehke sinna eraldi kasutajad ning võtke mingi Cobian vms andmevarundustarkvara, sisestage sinna NAS-is loodud kasutaja ja parool (millel õigus teatud kataloogidele kirjutamiseks) ning olemas.
Tavakasutaja andmetele ligi ei pääse, andmevarunduse tarkvaral eraldi ligipääs - lihtne andmevarundus olemas.

Mingi suvaline NAS peaks saama ~100€. Tänapäeval andmete väärtust vaadates, see investeering tasub kindlasti ära. Või noh, kellel ükskõik 10 aastat tehtud pildiarhiivist - see unustagu teema ära.

[Lord Ami]

[Tanel]

Lord Ami, väide oli konkreetselt Wannacry-st ja selle väidetavast levimisest e-mailide kaudu.
Üldisemalt muidugi on palju erinevaid nakatumisviise, aga praegu jäi mu konkreetne küsimus konkreetse vastuseta.

[Lord Ami]

[Tanel]

[Lord Ami]

[netcat]

[tahanteada]

Ja veel siis üks Ametlik lehekülg - ning kus ka üheselt ja otse välja öeldakse täpselt sama: WannaCry levib nakatatud E-mailide vahendusel.

Kirjatüki autor on ESET, ehk siis üks tuntuimaid Antiviiruste ning Malwarede leidja ning tõrjuja.
Kirjatüki sisu siis lühidalt neile kes Tehnilist inglise keelt ei valda ning kellel pole raamaturiiulis ka olemas Silveti "Inglise-Eesti sõnaraamatut".

A. Necurs Botnetist tehti massiline, krüptonakkusega, E-Kirjade saatmine.
- ühe tunniga saadeti üle 5 000 000 nakatatud E-Kirja.

B. Kirjad olid nakatatud kahe erineva Krüptoviirusega:
1. kõigile nüüdseks hästituntud WannaCry (WannaCrypt).
2. Ja siis teine Krüptoviirus - mille isegi RIA oskas "maha magada - rääkimata sellest mitte silpigi - Jaff Ransomware.

Ja nii need 5 miljonir E-Kirja maabusid postkastidesse ning oli ainult väike hetk kui kõik aga hakkasid siis neid kirju lugema...
------------
C. Ja kui kellelgi on küsimus mis või kes on Jaff Ransomware, siis see on Locky Ransomware omanike väike uus "käsitöö".

Ning antud rünnaku korral on olemas ka arvamus, et WannaCry oli kõigest ainult "pettemanööver", et varjata Jeff Ransomware tegutsemist:
Väike lugu siis sellest:

In the Shadow of WannaCry, Jaff Ransomware Arrives Using Familiar Phishing Techniques

https://phishme.com/shadow-wannacry-jaff-ransomware-arrives-using-familiar-phishing-techniques/

[olavsu1]

Tegu on siis eseti vahendiga kontrollimaks, kas masin omab konkreetset haavatavaust või ei oma.

[jägaja]

Eestikeelne wannacry?

[Lord Ami]

[olavsu1]

[Tanel]

tahanteada, sa loed ka mida kirjutad?
See mis viite sa lõpus andsid, räägib hoopis muust asjast.

Oma postituse esimesele lõigule ka konkreetsed viited annad?

[tahanteada]

Hoitatuseks: Taas siis uus - "Fake"-E-kirjade abil - toimuv WannaCry rünnak.
Ja väga hea näide siis selle kohta kui lihtne on tegelikult kõiksugu "Ransomware-kraami" sokutamine arvutitesse E-kirjade vahendusel.
PS: Ei oska öelda kui suur või väike see konkreetne konkreetne "üritus" on. Uskuda võib, et selletaolisi saab veel palju olema.

Ja samamoodi nii nagu ka varemgi juba toimus - tuleb kiri - inimene loeb, teeb seda - mida teha kästakse...


Warning over fake BT ‘WannaCry ransomware’ email

http://www.peterboroughtoday.co.uk/news/crime/warning-over-fake-bt-wannacry-ransomware-email-1-7973094
----------
Warning Over Fake BT WannaCry Ransomware Email

http://securityphresh.com/security-news-display.php?newsid=94772

[jägaja]

[tahanteada]

Nii, mängisin internetis veel siis "Pioneerilaagrit & luuremängu kus oli siis ülesandeks - veel välja luurata sellist infot millest RIA ega teised ametlikud allikad midagi rääkida ei taha ja vaikitakse nagu haud..."...
PS: Olen arvutite turvateemadega kursis a 30 aastat - nii, et "luurekate" kogemused on täiesti kenasti olemas.

Ja "luurekas" tasus ennast kenasti ära kuna on siis olema mitu huvitavat informatsiooni:

1. See WannaCry rünnak on aastal 2017 juba Neljas Rünnak.
A. Varasemad rünnakud toimusid siis: veebruar 2017, märts 2017, aprill 2017.
B. Seega võib kenasti oletada, et järgmine Massiline E-kirja-rünnak, nakatatud krüptoviirustega, on siis oodatav: juuni 2017.
C. Kuna juba selle rünnaku korral oli tegu kahe "sõbra omavahelise koostööga" (WannaCry Ransomware & J-a-f-f Ransomware), siis on üsnagi prognoositav, et ka järgmine rünnak on siis samuti "mitme krüpto-sõbra ühisettevõtmine".

2. Ja siis natuke sellest kui suur oli siis "palgalipik, ehk summa mida teeniti".
- See summa on praeguseks siis üle 100 000 USD, ei oska öelda kas see summa kuulub ainult WannaCry-le või jagatakse see "sõbraga (J-a-f-f)" kaheks.
----------------
3. Kuna "sõber J-a-f-f" suutis "kinni püüda (ära nakatade)" üle miljoni arvuti, siis on temast viimastel päevadel ka üsna palju uut ning huvitavat kirjutatud.
- ei oska öelda millal RIA või Geenius.ee üles ärkavad ning ka J-a-f-f-ist "personaalse loo" kirjutada julgevad.

Küll näitab järgmine kirjatükk üsna selgelt seda, et mis võivad olla need E-kirja laiendi-versioonid millega ka WannaCry järgmisel korral "üllatada" soovib:

Jaff ransomware gets a makeover

Published: 2017-05-24
Last Updated: 2017-05-24

https://isc.sans.edu/