Názory k článku
Byl to ransomware, potvrdil Garmin příčiny několikadenního výpadku

Toto nemá chybu: "Nemáme důkazy o tom, že by útočníci získali přístup nebo ukradli data zákazníků ani informace o platbách v Garmin Pay"
Je to taková logická hříčka. Ze které by plynulo, že nevědí, alias to, že nemám důkazy o tom, že se něco stalo, neznamená, že se to nestalo, jen jsem nezískal důkazy.

V originále ale je trochu něco jiného (chyba překladu předpokládám):
"We have no indication that any customer data, including payment information from Garmin Pay, was accessed, lost or stolen"
Nemluví se o "důkazech" i když prohlášení je stále takové nejisté "nic nenaznačuje že by došlo ke krádeži ....".

Ani toto prohlášení by mne zrovna neuklidnilo - měli by naopak mít důkazy o tom, že ke krádeži údajů nedošlo, ale předpokládám, že vyšetřování ještě není u konce, tak vydávají takovou uklidňující zprávu pro zákazníky... že zatím neobjevili nic, co by naznačovalo, že k úniku došlo.

Tak jestli to bylo tak ze nezaplatili pak za mne palec nahoru pro Garmin.

Položilo jim to produkční servery, takže ta data tam možná byla zašifrovaná, ale v době útoku zjevně dostupná. Šifrování pomáhá jen v případě fyzického odcizení hardwaru, ne když se někdo dostane do stroje, který má ten šifrovaný disk připojený.

Důkazy o tom, že k žádné krádeži nedošlo, nikdy mít nebudou. Pokud byl software útočníků schopen data zašifrovat, musel je umět přečíst. Tedy k nim měl přístup a je jenom otázka, zda se je pokoušel odeslat a zda případně byl úspěšný.

Samozřejmě ten ransomware nemusel mít přístup ke všemu, třeba se k datům zákazníků nebo k informacím o platbách vůbec nemusel dostat, tyhle údaje mohly být nedotčené, ale kvůli nefunkčnosti jiných systémů se k nim uživatelé nemohli dostat. A to je to, co podle mne říká to prohlášení. „Tyhle údaje ransomware nenapadl a nemáme důvod si myslet, že by se k nim někdo dostal.“ Nic víc opravdu vědět nemohou – dokázat můžete vždy jen to, že systém byl napaden, nikdy nemůžete se 100% jistotou dokázat, že napaden nebyl.

Není pravda že pokud útočník data zašifroval že je musel umět přečíst - pokud měli data zákazníků šifrovaná, tak to útočník nepřečte, ale zašifrovat ještě jednou to může.

Je možná pravda, že "Důkazy o tom, že k žádné krádeži nedošlo, nikdy mít nebudou", ale to se týká určitých situací, v zásadě je možné pokud mají dobře zapnuté logování např. NetFlow zjistit, zda a kolik dat kam teklo, tedy zda data zákazníků (to budou nějaké TB dat) tekly do sítě útočníků (často nějaké C&C v darknetu nebo nějaké PC útočníků, které se připojilo zvenčí).
Dále můžete analyzovat (nebo to už někdo analyzoval v minulosti) ten kód, co to zašifroval (pokud se všechen nesmazal) a zjistit, co umožňuje, a jestli umožňuje zadní vrátka (na jakém portu) či odesílání dat před šifrováním (opět jakými protokoly, porty) a kam.
Tzn. těch možností forenzního vyšetřování v takovém případě je poměrně hodně a můžete získat důkazy o tom, že k úniku dat nedošlo. To samozřejmě neznamená, že to tak v případě Garminu bude, protože základním předpokladem k tomuto je mít dobře nastavené logování a nepřijít při tom útoku o logy...

I když zjistí, že přes jejich síť data neodtekla, pořád ještě neodkážou vyloučit, že neodtekla jinudy – na fyzických médiích, nějakým komunikačním prostředkem instalovaným útočníkem. Jasně, je to nepravděpodobné. Ale to nejsem psal – není možné to tvrdit s absolutní jistotou, jenom se té jistotě lze přibližovat.

Ten kód, co to šifroval, se nemusel jen smazat, mohl se také v průběhu času měnit. Případně mohl vedle něj existovat jiný kód. Mít v síti zadní vrátka a po získání dat tam pustit ransomware by nemusel být špatný postup – při obnově ze záloh zničí důkazy sám provozovatel.

Důkazy, že k úniku nedošlo, získat nemůžete. Můžete získat důkazy, že nedošlo k úniku cestou, kterou máte podchycenou.

Takže výkupné platit nebudou a opraví si to sami? Útočníci se asi na chvilku zaradovali, že si přijdou na hezkých $10M a ono zase nic... :)

Garmin Connect už funguje.

28. 7. 2020, 08:32 editováno autorem komentáře

Garmin Connect už funguje. --- Nefunguje, hlásí mě to, že jsou problémy v komunikaci se servery. Kde je tedy problém? Nemohu provést aktualizace map.

Tak určitě...

https://connect.garmin.com/status/

Rozhodně. Záleží, kdo má jaké zařízení. V mém případě jde o tachometr na kolo. A tam mi šlape vše bez ohledu na to, co ukazuje status. Prostě jsem se normálně přihlásil a vidím ovládací panel jako vždy a také funguje vše co má. Jak prosté.

Zajímavá data jsou i samotná čísla karet.

Mně jo a celkem svižně. Vidím všechny své aktivity včetně poslední nahrané. Tzn. funkcionalita bez omezení, tak jak jsem ji znal předtím.

Útočník musel umět přečíst to, co šifroval. Něco jiného je, zda uspěl i s něčím jiným, než šifrováním – ať už to něco jiného bylo dešifrování, odeslání nebo třeba jen nalezení malého množství zajímavých dat a jejich odeslání.

Vzhledem k tomu, že karta v garminech je klasická visa nebo mastercard karta, tak stejně žádné extra zajímavá data o platbách uniknout nemůžou. Garmin není tou platformou, přes kterou se honí transakčni data o platbách, místech a zboží.