Gå til innhold

Eksperter advarer om flere dataangrep mandag

Harald Brombach (digi.no)

Anbefalte innlegg

Videoannonse

Videoannonse
Annonse
-Night-

-Night-

Skrevet
Skrevet

Syns dette kommer ikke helt tydlig frem om XP og vista brukere er ekstra stor utsatt?

 

Kanskje idee og koble pcen fra internett eller slå av maskinen i dag? Hehe.

 

XP/Vista brukere er utsatt, MEN Microsoft har på fredag frigjort en oppdatering til XP/Vista bruker selv om disse er EOD.

 

https://blogs.technet.microsoft.com/msrc/2017/05/12/customer-guidance-for-wannacrypt-attacks/

 

Viktig at de som enda har XP klienter som ikke er mulig og oppdatere av div årsaker setter disse bak en brannvegg 

Lenke til kommentar
LMH1

LMH1

Skrevet
Skrevet (endret)

Men rammer slike virus ofte torrent fildeler? Eller epost svindel?

For egentlig tror jeg ikke man har særlig mye å frykte, hvis man bruker sunn fornuft.

Installer man mye dritt fra forskjeller steder eller ligdene er vel større sansynlig for dette problemer.

 

Jeg har aldri opplevd crypto virus. Men har man backup burde man være trygg nok.

Eller lastes alt opp man har lagrer på maskinen så særlig bedrift hemmeligheter er det svindelsene er mest ute etter? I håp å tjene penger.

Endret av LMH1
Lenke til kommentar
-Night-

-Night-

Skrevet
Skrevet

Men rammer slike virus ofte torrent fildeler? Eller epost svindel?

For egentlig tror jeg ikke man har særlig mye å frykte, hvis man bruker sunn fornuft.

Installer man mye dritt fra forskjeller steder eller ligdene er vel større sansynlig for dette problemer.

 

Jeg har aldri opplevd crypto virus. Men har man backup burde man være trygg nok.

Eller lastes alt opp man har lagrer på maskinen så særlig bedrift hemmeligheter er det svindelsene er mest ute etter? I håp å tjene penger.

 

Helgens angrep kom ikke via epost men via en feil i SMBv1 protokollen samt noen andre kanaler,  Fildelere har høyere risiko ja, siden en kan som regel ikke verifisere innholdet er trygt via de kanalene da er det ofte lett og legge inn en keylogger / annen skadevare inn i en keygen. 

 

Dages versjon av tidligere av slike virus har ikke lastet opp noe innhold til nettet foruten men kun kryptert innholdet, det er flere grunner til dette med en av hovedgrunnene er av dersom en server/maskin starter laste opp store mengder data på natten er man dette fort, crypto kan i det stille kryptere innholdet over lang tid. 

 

 

Som all bruk av nettet handler om bruk av sunn fornuft. 

Lenke til kommentar
-Night-

-Night-

Skrevet
Skrevet

Men altså, XP og Vista?! Da kan man vel strengt tatt bare takke seg selv.

Enda noen systemer som kjører gammelt software som trenger det dessverre,  typ medisinseine maskiner innen røkten/ct/mr osv har mye XP enda siden kjøp av ny CT maskin koster fort 5-10 mill.

Lenke til kommentar
Bolson

Bolson

Skrevet
Skrevet

Helgens angrep kom ikke via epost men via en feil i SMBv1 protokollen samt noen andre kanaler,  Fildelere har høyere risiko ja, siden en kan som regel ikke verifisere innholdet er trygt via de kanalene da er det ofte lett og legge inn en keylogger / annen skadevare inn i en keygen. 

 

Litt upresist. Malvaren - som faktisk er en orm, bruker:

1. Åpne porter knyttet til SMB protokollen til å komme seg gjennom brannmurer. F.eks port 445.

2. Når den er gjennom brannmuren leter den etter maskiner som ikke har fikset SMBv1 feilen og installerer selve kryptoprogramvaren på maskinen.

3. Ormen letter etter andre maskiner på samme nettverk som også kan infiseres.

 

Det er mulig jeg har misset noe også, men det er slik jeg har forstått det. Så organisasjoner som hadde godt konfigurerte brannmurer mot internett - dvs uten mulighet for disse fildelingsprotokollenen var i realiteten immune selv om de skulle ha maskiner som ikke var oppgradert internt.

 

Derfor også NSM har startet scanning av infrastruktur i Norge.

Lenke til kommentar
-Night-

-Night-

Skrevet
Skrevet

Du har rett NSM oppperer med prinsipper innen beskytt og herde fra bunnen og opp. Du har rett at en god brannmur beskytter et annen poeng her er at i Norge så har det så midt jeg erfart sperre åå mange nett (Internett) for smb trafikk.

  • Liker 1
Lenke til kommentar
-Night-

-Night-

Skrevet
Skrevet (endret)

Hva er inkubasjonstiden på denne varianten?

 

Denne har som vi ser nå har ingen dvaletid, den starter med kryptering så fort den kommer seg inn i nettverket, selv om det er noen kall mot domenet som ikke bør blokkeres siden dette er en killswitch, som siden det er nå i tryggehender.

 

www[.]iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea[.]com

 

Slik det var er når en maskin først fikk dette gikk det en spørring mot domenet som ga NXDOMAIN siden det på tidspunkt ikke fantes,  men har i etter tid blir kjøpt av en sikkerhetsforsker får det et svar  

ANSWER SECTION:www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com. 300 IN A 144.217.74.156

Dette gir nå svar på port 80 med følgende

sinkhole.tech - where the bots party hard and the researchers harder.

Den hører også på flere porter, det er grunnet dette er i DENNE omgangen har klart og dempe skade omfanget vi har alerede sett flere versioner av denne ormen som har andre domener og noen uten denne klillswithchen. 

 

per nå gjelder det og oppdater dine systemner, vil du være ekstra sikker kan du slå av SMBv1.0 ved hjelp av powershell

Set-SmbServerConfiguration -EnableSMB1Protocol $false

Siden domenet ikke er en trussel velger jeg og inkludere hele domenet, domenet sprer ikke skadevaren. 

Endret av -Night-
  • Liker 1
Lenke til kommentar
L06VPWX1

L06VPWX1

Skrevet
Skrevet

 

Men altså, XP og Vista?! Da kan man vel strengt tatt bare takke seg selv.

Enda noen systemer som kjører gammelt software som trenger det dessverre,  typ medisinseine maskiner innen røkten/ct/mr osv har mye XP enda siden kjøp av ny CT maskin koster fort 5-10 mill.

Det vil være direkte kriminelt uansvarlig å ha disse maskinene koblet til nett på noen som helst slags måte.

  • Liker 1
Lenke til kommentar
-Night-

-Night-

Skrevet
Skrevet

 

 

Men altså, XP og Vista?! Da kan man vel strengt tatt bare takke seg selv.

Enda noen systemer som kjører gammelt software som trenger det dessverre,  typ medisinseine maskiner innen røkten/ct/mr osv har mye XP enda siden kjøp av ny CT maskin koster fort 5-10 mill.

Det vil være direkte kriminelt uansvarlig å ha disse maskinene koblet til nett på noen som helst slags måte.

 

Det får du ta med Helse Sør/Øst som enda har noe utstyr som har dette.

Ja jeg er enig, at disse burde kobles fra internett, selv om de enda godt kan være på intranett om dette er godt nok herdet.

 

Lenke til kommentar
Bolson

Bolson

Skrevet
Skrevet

 

 

Men altså, XP og Vista?! Da kan man vel strengt tatt bare takke seg selv.

Enda noen systemer som kjører gammelt software som trenger det dessverre,  typ medisinseine maskiner innen røkten/ct/mr osv har mye XP enda siden kjøp av ny CT maskin koster fort 5-10 mill.

Det vil være direkte kriminelt uansvarlig å ha disse maskinene koblet til nett på noen som helst slags måte.

 

 

De må kobles til nettet - et alternativ der man springer rundt med USB-pinner er ikke aktuelt - når f.eks bilde skal fra røntgen til behandlende lege på sykehuset.

 

Ellers er ikke de nettene som disse maskinene er på koblet direkte mot internett. Det er interne nett på det enkelte sykehus, som kan være koblet opp i felles nett med andre sykehus. Men mot internett er det avanserte brannmurer etc og jevnt over svært god sikkerhet. Brannmuren mot internett fra de interne nettene er konfigurert etter regelen, ingenting inn det minimale ut. 

 

Derfor ble heller ikke norsk helsesektor rammet.

 

Jeg har kunder i sektoren, knyttet til løsninger utenfor "brannmurene" (demilitatisert sone). Vi får konsekvent nei på å kunne kommunisere med noe innenfor ytterste brannmur - og det er lag innenfor dette igjen. De kan dog sende data (ikke sensitive) ut til våre løsninger. Historisk har helsesektoren vært meget skeptisk til å koble seg opp mot noe som helst - det er en av grunnene til lite digitalisering.

  • Liker 1
Lenke til kommentar
tommyb

tommyb

Skrevet
Skrevet

 

Jeg har kunder i sektoren, knyttet til løsninger utenfor "brannmurene" (demilitatisert sone). Vi får konsekvent nei på å kunne kommunisere med noe innenfor ytterste brannmur - og det er lag innenfor dette igjen. De kan dog sende data (ikke sensitive) ut til våre løsninger. Historisk har helsesektoren vært meget skeptisk til å koble seg opp mot noe som helst - det er en av grunnene til lite digitalisering.

 

 

Er det lov til å si at jeg synes dette er en riktig vurdering? Det skal naturligvis lages løsninger, men disse løsningene må ha strengere krav enn det meste annet på nettet. Over tid, blir det meste av nettet kompromittert. Helsedata er blant noe av det som ikke skal kompromitteres. Og det får man ikke til på anbud. 

Lenke til kommentar
Bolson

Bolson

Skrevet
Skrevet

 

 

Jeg har kunder i sektoren, knyttet til løsninger utenfor "brannmurene" (demilitatisert sone). Vi får konsekvent nei på å kunne kommunisere med noe innenfor ytterste brannmur - og det er lag innenfor dette igjen. De kan dog sende data (ikke sensitive) ut til våre løsninger. Historisk har helsesektoren vært meget skeptisk til å koble seg opp mot noe som helst - det er en av grunnene til lite digitalisering.

 

 

Er det lov til å si at jeg synes dette er en riktig vurdering? Det skal naturligvis lages løsninger, men disse løsningene må ha strengere krav enn det meste annet på nettet. Over tid, blir det meste av nettet kompromittert. Helsedata er blant noe av det som ikke skal kompromitteres. Og det får man ikke til på anbud. 

 

 

Ja, vi er enige.

Lenke til kommentar

Opprett en konto eller logg inn for å kommentere

Du må være et medlem for å kunne skrive en kommentar

Opprett konto

Det er enkelt å melde seg inn for å starte en ny konto!

Start en konto

Logg inn

Har du allerede en konto? Logg inn her.

Logg inn nå
Gå til emneliste
×
×
  • Opprett ny...