Vlákno názorů k článku Veselé Vánoce aneb Jak ransomware zašifroval firmám z Prahy data před účetní uzávěrkou od WIFT - Jasně, já to počítám mezi sociální inženýring, protože...
-
Jasně, já to počítám mezi sociální inženýring, protože mě nenapadá, kdo jinej než oběť sociálního inženýringu by si dneska spustila spyware či jakýkoli jiný malware ;) (pokud se do PC nedostane zcela bez přičinění uživatele nějakou dírou, což bych ale řekl, že u koncáků spíš upadá, protože je snazší je oblbnout jinak).
-
TM (neregistrovaný)
podle me to neni ani tak socialni inzenyring (na RDP jsem ho jeste nepotkal :-) jako spis spyware ktery proste jen stahne hesla a odesle je pryc.
Kdyz si vezmes uzivatelsky PC pustis na nem vytahovani hesel z prohlizece a emailu - vetsinou ziskas desitky ruznych prihlaseni behem vteriny. Kdyz bude spyware chytrejsi a bude na disku jeste hledat soubory s priponou .rdp tak taky sem tam neco najde... -
Díky za info, které dává smysl.
Ne, že bych se tím nějak obšírněji zabýval, spíš to jen tak z povzdálí „laicky“ sleduju, ale připadá mi, že největší procento úspěšných útoků, o kterých se veřejnost dozvěděla, souvisí s vyzrazením přihlašovacích údajů. Že prostě „sociální inženýring“ je teď tak nějak in, protože to docela dobře funguje na docela velkém počtu uživatelů. I z toho mně osobně vyplývá, že když není uživatel úplný idiot, tak je vlastně víceméně v suchu - v porovnání s tím „průměrem“, na který se obvykle cílí. Znovu zmiňuji, že nemám na mysli cílený útok na někoho/něco důležitého (a tím fakt nemyslím bankovní konta běžných uživatelů, byť pro mnohé jsou veledůležitá), tam to asi funguje trošku jinak, byť ta mainstreamová metoda prolomení (Budulínku, dej mi heslo, povozím tě na ocásku) určitě není zanedbávaná ;).
-
TM (neregistrovaný)
To je prave otazka kterou ti nikdo neodpovi - v tech pripadech kdy jsme to zaznamenali u nasich zakazniku tak to byly stroje na kterych byl windows update pusten a byly zaplatovane. Vyjimka byla u serveru kde se zaplaty instaluji rucne s nejakym zpozdenim. Ale nepamatuju si za posledni dobu ze by MS hlasil u nejake zaplaty ze resi kritickou chybu v RDP.
Mozna existuji nejake zero day exploity na rdp, ale ty by byly asi vyuzivany masivneji. Takze si spis myslim ze vetsina tech prustrelu byla spatnym heslem nebo jeho vyctenim z ulozeneho RDP u uzivatele. -
Víte, to, co píšete, sice dává smysl, ale mě např. zajímá, kolik z toho požehnaného množství děr v RDP je touto cestou aktuálně *) zneužitelných.
*) Tzn. na řekněme aktuálně podporovaných a plně záplatovaných Windows (nanejvýš záplatovaných s půlměsíčním zpožděním) - počítejme sedmičky a vyšší.Slovníkové útoky neřeším, pokud jsem přesvědčen o tom, že mám dostatečně silné heslo, navíc Windows při přihlašování se špatným heslem (jedno zda přímo na PC nebo přes RDP) defaultně dělají prodlevy, kdy s ohledem na standardní chování nevíte, zda už se přihlašujete, nebo vás to za několik pětek sekund odpálkuje, že špatné heslo, takže imho moc hesel se za jednotku času vyzkoušet nedá (pokud se tedy toto nedá nějak obejít - znovu říkám: vystavený je jen RDP port, ne třeba pro sdílení a jiné služby).
Všechno, co zmiňujete, je takové obecné povídání, které se dá napasovat v podstatě na cokoli. Ale konkrétního to neříká nic. Jasně, Windowsy jsou oblíbeným terčem útoků, protože je má spousta lidí. Jsou děravé, protože se tím pádem na spoustu děr přišlo. Když je někdo „šikovný“ a k tomu ještě tvůrce viru, dokáže si najít cestičku všude. Tohle jsou všechno bez reálných příkladů FUDy. Neříkám, že je špatné se jim nebránit, protože přirpaveného hned tak něco nepřekvapí (což je de facto blbost, protože právě když jste připraven, vás nejvíc překvapí, že s vámi někdo i přesto vydrbal, zatímco kdo tu bezpečnost fakt neřeší, se divit prostě nemůže a o překvapení by neměla být vůbec řeč ;), ale pořád z toho všeho, co jsem si tu přečetl, mi přijde, že vystavení RDP portu Windowsové mašiny skrz nějaký forwarder na nestandardním portu s heslem, o němž jsem přesvědčen, že je silné, je zabezpečení na dostatečné úrovni s velmi dobrým poměrem cena/výkon. Tím spíš, že to je např. domácí mašina či mašina nějaké malé firmičky a ne server nějaké státní instituce nebo instituce řádově ještě důležitější.
-
. . (neregistrovaný)
jinej port odstraní poměrně dost útoků, takže se slabina nemusela projevit a server ti nikdo nenapadl.
Jedou se slovníkové útoky nebo zneužívají neopravené zranitelnosti, však v RDP jich je požehnaně za jeho historii.
Většina podobných služeb (ať mají přihlašování přes heslo), nejsou určené k odolávání útoků a vystavení veřejně. Co k něčemu není určené, příliš se na takovou věc netestuje, chybí kontrolní mechanismy a pokud na druhý straně je šikovný tvůrce "viru", cestu si najde.
Naopak řada VPN brán je právě určena k vystavení nebezpečnému prostředí a daleko lépe plní svoji roli.
-
. . (neregistrovaný)
jenže server to je spíše povahou komponent a spolehlivostí, než formou. Dělají se běžně servery, které vypadají jako desktop počítač, mají je i na Alze, hledej třeba termín tower nebo zmiňovaný microserver od HP.
Proč se vyjadřuješ k něčemu, o čem nemáš ani potuchy a co ti nestojí ani za to, na tu Alzu kouknout a ten "microserver" si najít?
-
MasoxCZ (neregistrovaný)
Přesně to mě napadlo jako úplně první. Vystavit holé RDP přes port forwarding do internetu je docela usilovná snaha o sebevraždu. Dále tento způsob provozu je v rozporu s EULA a správně za to měli ještě dostat flastr. A co se týče zálohování ... lidi se dělí v zásadě do tří skupin:
1) o data už někdy přišli
2) o data teprve přijdou
3) o data přijdou ZNOVU -
TM (neregistrovaný)
V posledních par mesicich jsme měli u zakazniku takto prostrelene RDP, napadeny server a zasifrovana data. Pokud bylo RDP otevrene uplne (port 3389) tak se bud stavalo ze to zkouseli slovnikovym utokem nebo jen zahlcenim služby (takze legitimni uzivatele nemohli pracovat). Premapovani na jiny port moc nepomuze - oskenovat všechny porty netrva tak dlouho (pokud to nechces delat pomalu a opatrne) - jakmile najdou port, jsi ve stejne situaci.
U tech nasich pripadu doslo bud k tomu ze existovala nejaka neznama chyba kterou se RDP dalo prostřelit (i když to je mala pravdepodobnost) ale spise slo o to, ze nejaky ransomware na stanicich klientu vytahnul prihlasovaci udaje z ulozeneho RDP spojeni a ty pak pouzil pro prihlaseni (v logu rdp serveru je pak videt ze se prihlasil bezny uživatel, ale jeho IP byla z ruznych státu.
Jistota je proto dovolit RDP jen z konkretnich adres nebo dovolit pripojeni jen pomoci VPN. Bez toho je to riziko - nic se stat nemusi rok, ale taky muzes mit zasifrovana data hned druhy den. -
Nejsem v té bezpečnosti úplně kovaný, rozlišuji pouze mezi napadeno/nenapadeno a zatím jsem napaden nebyl, ale musím se zeptat, protože mě to zajímá:
Jak moc je nechráněná stanice s řekněme Windows (10), která má ven vystavený skrze nějaký router/firewall RDP port, přičemž na stanici je to normálně 3389 a venku je to přemapované řekněme na 12345? Co musí útočník získat (kromě portu, který si osahá, a veřejné IP adresy, kterou třeba zná), aby se na takový stroj dostal, když nezná přihlašovací iniciále? Já jen, že takové stanice znám docela běžně, a to běhají i na starších Windows než 10 (nejstarší jsou Windows Servery 2003, ale ty nych už s dovolením vynechal).
-
TM (neregistrovaný)
Tim standardnim portem jsem myslel i to ze je otevreny z venku (tak jak popisujete). Bez VPN nebo striktne vymezenych IP adres je takoveho otevreni opravdu zadelani na pruser.
Server z bezne stanice - zalezi vzdy jen na poctu uzivatelu. Drivejsi desktop verze mely omezeni na to jak dlouho muze system bezet (ale to tusim zaniklo s win7), pak byl problem s pocty pristupu na sdilene disky (kde se to take pohybovalo v jednotkach soubeznych pripojeni) a take s rychlosti. Kdyz si vezmu cenu nejakeho kancelarskeho PC s Windows 10 - budeme se pohybovat napr. 10-12000,-. Kdyz si koupim od HP Microserver s celerony a dvema disky v raidu a serverovym OS tak jsem na cene jen o par tisic vyssi. Kdyz chci mit jistotu rychle opravy tak muzu koupit za smesny peniz jeste NBD carepack
-
Petr (neregistrovaný)
Udělat si server ze stanice ve firmě o pár lidech, když potřebují v podstatě jen sdílet pár adresářů není problém, RDP na std portu taky ne. Co je ale problém, jestli měli to RDP přes nějaký port forward na routeru vystrčené ven. Ani změna portu není žádné řešení, řešení je firewall a VPN a vše řešit jen zkrz VPN. Že neměli zálohy je samozřejmě slušný fail, nemusí je ani napadat ransomware, stačí když odejde hw.
-
TM (neregistrovaný)
Takze jako server pouzijeme bezne Windows 10 normalni desktopovou verzi... pravidelne nezalohujeme... otevrene RDP na standardnim portu...
Hned na zacatku tri zakladni chyby - tady tomu pruseru sli spise naproti. Napada me - bezny desktopovy system povoli uzivateli normalne jen jeden RDP pristup soucasne - nekdo si hral s registry windows a delal z toho pseudo server a povoloval vice otevrenych RDP najednou?
