Názory k článku
Proruští hackeři vyřadili z provozu web centrální banky a J&T Banky [AKTUALIZOVÁNO]
-
NUKIB systematicky selhava. Zpusob, jakym NoName057 utoci je znamy dlouhodobe a zdroje, odkud utoky prichazi se ani moc nemeni. Urad to pry dokonce analyzuje. Ale neni schopen upozornit ani spravce z verejnych instituci a predat jim data, ktere jiste ma a ktere by pomohla dopadum utoku predejit. A vysledkem te necinnosti a neschopnosti uradu vykomunikovat rizika a mozne zpusoby mitigace je, ze akorat pada jeden web verejne instituce za druhym...
-
Legracni je, ze tady je zjevna snaha tutlat i informace, ktere se jinde bez obtizi a pomerne v detailu publikuji. Ten argument s nahravanim utocnikovi tady fakt postrada smysl. Naopak selhaly veskere systemy vcasneho varovani... informaci podobneho druhu je spousta, neni v silach jednotlivce ci malych skupin se vsim prokousat.
Navic zminovany FENIX je primarne projektem cilici na sitovou bezpecnost. Pochopitelne, na urovni poskytovatelu (ISP) do aplikaci moc videt neni - a v principu neni pro kazdeho, aneb ne kazdy ma autonomni system, ze? :-) Ale FENIX zdaleka neni jedinou platformou, kde se bezpecnost resi. Jeste dele nez FENIX je tu platforma kolem dnesniho CSIRT.CZ. Na sdileni bezpecnostnich informacich o aplikacnich utocich - je to podstatne vhodnejsi misto. Treba uz jen proto, ze tam nejsou jen sitari a muze se tam zapojit a realne se tam setka vic lidi. A vic hlav vic vi...
-
Jste prvni, kdo tu mluvi o nejake odpovednosti. Tak znovu, ja mluvim o komunikaci, sdileni informaci, spolupraci. Slysime jen dokola vymluvy, proc to nejde namisto snahy hledat zpusoby, jak nevesely stav kolem nas zlepsit. A samozrejme jste predvedl typicky urednicky alibismus - prece je to odpovednost nekoho jineho, tak co ja bych se staral, muj problem to neni (dosadte si zde misto italske vlajky ceskou... a presne to vystihuje, jak fungujeme u nas dnes)... z tohohle utocnici primarne tezi, z tehle neschopnosti komunikovat... ne z toho ze jednou za 18 mesicu nevymenime hesla (oblibeny nesmysl z minuleho stoleti, na kterem i dnes urad naopak lpi).
A tak znovu - utoky ruskeho svaba bezi nekolik mesicu. Jasne, obcas si da pauzu a vrhne se na nekoho nekde jinde a u nas je pak chvili klid. Kdyby se rozumne sirily a vymenovaly informace o tom, jak utok vypada a pripadne jak jej mitigovat, byl by cas se na to v klidu pripravit (a treba si i vzajemne korigovat poznatky) a samozrejme se i snaze reaguje na to, ze se chovani muze v case menit. Pristup uradu, kdy za hlasiteho PR teda milostive prispecha na pomoc v situaci, kdy uz vsecko pada na drzku - kdy typicky i dojde ke zvladnuti utoku driv, nez tento sam skonci (to typicky az druhy den kolem pul devate) je proste dukaz toho, ze komunikace nefunguje optimalne a pritom incidenty zvladnutelne jsou a kdyz se chce, tak to jde...
-
Obligatni vymluvy z uradu. A zrovna s tou CNB prece NUKIB dokonce podepsal memorandum o spolupraci... ale zjevne tam v predstihu nejak zapomely doplout informace o tom, kterak se branit. Jo, ale delat se post-mortem PR o tom, jak to zachranuji potom, co to lehlo se samozrejme nezapomelo. Mimoto konstituence CSIRTu v obecne rovine neni o tom, ze si hraju na svem pisecku a na ostatni kaslu a div se u toho jeste neohanim nejakym rezimem utajeni, jak uz tu nekteri take zkouseli... ono je to i o spolupraci, vymene informaci, koordinaci postupu, prevenci... Ostatne pripravovane NIS2 to take odrazi... a vic, nez jednou nenapadnou vetickou v nasi narodni transpozici "aby se nereklo". Kdyby to sdileni informaci fungovalo (proc by nemohlo?), tak rusky svab neslavi takove uspechy... a lehly nejen veci, ktere resi privatni sektor (a i tam existuji cesty, jak tam informace dostat), ale i veci, kdere formalne pod vladni CERT jiste spadaji. Jako treba registr zivnostenskeho podnikani... nebo MPO taky neni problem NUKIBu? ;-)
-
"Konkrétní detaily veřejně sdílet nemohu, protože bych mohl nahrát útočníkovi"
Jiste, utocnik totiz nevi, jak se jeho utok chova, jak na nej cilove subjekty reaguji a proto je potreba vse utajit, aby nahodou nevedel, ze se o tom vi. Zato ti, kteri by vedet meli a mozna s tim i neco mohli udelat, se nic nedovi, protoze je to tajne ... takze, proc by se tim vlastne meli zaobirat?
Utok z pohledu serveru toriz muze z pohledu site vypadat zcela nezajimave, ale treba zrovna nekdo v te siti by jej mohl alespon zeslabit, ale to by nejdriv musel vedet co ...
Jeste si nastavte (prisne tajne)nbusr123, a pak dejte vedet, jak to funguje ...
Edit: Nektere ceske banky (napr CSOB a FIO) nejsou (stale) dostupne ani z cech.
1. 9. 2023, 19:30 editováno autorem komentáře
-
Dneska jsem viděl ve zprávách na ČT24 rozhovor s Tomášem Krejčím z NCKB (NCKB spadá pod NÚKIB) a přišlo mi úsměvné, jak se moderátorka zeptala, kdo za útoky stojí a dotyčný expert se omlouval, že tuto informaci ven fakt nepustí, protože Rusákům nechce dělat reklamu a oslavovat jejich úspěchy na poli s DDoS útoky. Celkově jsem z něj měl rozpačitý pocit...
-
Ale prosim vas - ono kdyz se chce, tak se i s tim soukromym sektorem spolupracuje. A kdyz to neni problem u cviceni, proc tu pak cteme od pana Jakuba hlasky, ze vlastne se s tim soukromym sektorem moc bavit vlastne moc nechteji? ;-) Prece ta spoluprace nemuze skoncit jen u tech cviceni a simulovanych incidentu...
-
Tak znovu, my se nebavime o nejakem poskytovani sluzeb, nebo chcete-li konstituenci - ale o sdileni informaci, spolupraci, kooperaci a nejen o odrazeni dopadu problemu, ale take o proaktivni snaze jim predchazet. Vy to porad vnimate tak, ze se zavrete do sve bubliny a svet okolo neresite, ale to proste vnimate spatne. Mate o tom treba uz clanek 13 (stare) NIS, pripadne clanek 10 v nove NIS2. A takovych materialu najdete okolo mraky - ono ty smernice ostatne prevzaly praxi, ktera historicky vznikla odspodu a nenucene. S konstituenci v CR zas takove problemy nejsou, existuji tu prece desitky teamu, co definuji sva pole pusobnosti, nejake databaze kontaktu tu mame i ze zakona. Co ale uz moc nefunguje je prave to sdileni informaci. Treba takovy to jak bojovat s ruskym svabem...kdyz uz se neco konecne vyprodukuje, tak je to jeste div ne tajny - a ve smyslu zakona, nikoliv dle TLP (jehoz smysl je jiny) - a rozhodne se to ani k tem konstituovanym teamum nedostava zpusobem, jakym by melo. A vy se nam tu porad na neco vymlouvate. Jo, kdyz jde o to si jen hrat na cvicenich, tak to spoluprace statu s privatem problem neni a samozrejme je kolem toho i velke PR :-) Ale kdyz jde fakt do tuhyho a je rec o ostrem incidentu (co uz par mesicu trva), tak se zacnou se hledat vymluvy, proc to nejde a cele se to proste zadrhne... a jeste se u toho navenek tvarime, ze je vse v nejlepsim poradku. To je jak kdyby armada sice cvicila aktivni zalohy s nejmodernejsi technikou, ale v pripade skutecneho prusvihu by dotycne dobrovolniky odkazala na pilku ze supliku a nejblizsi les - s tim, ze ten klacek na umlaceni nepritele si maji tam obstarat sami.
-
vždyť ale stát sám si banky zařadil do kritické infrastruktury a nastavil jim přísná pravidla, k tomu zmocnil ČNB ať k tomu ještě vybere 5 systémových bank, které drží stabilitu financí. Stát sám ty banky považuje jako důležité pro chod samotného státu a pak tady tvrdíš, že je má nechat na pospas? Vždyť ten problém v případě průniku je nás všech.
To je přesně ten problém, stát (teda očividně úředníci) k tomu přistupuje tak, že pokud bereš hodně peněz, nepomůžu ti ani náhodou. Tomu se opravdu říká závist.
-
Nevím, ale jak by
útok by měl být mitigován na aplikační a ne síťové úrovni
, ve chvíli, kdy je server schopen odbavit (nebo zahodit) zhruba pětkrát více spojení, než kolik jich proleze sítí?
Pak to končí nastavením jednoduché omluvné statické stránky, protože jednoduchých REQUEST-RESPONSE požadavků (jasně, HTTPS, TLS a podobné to trochu zesložití...) vyřídíte mnohem více, než když posíláte stránku o několika desítkách objektů a několika megabajtech - to se pak ta komunikace zahltí poměrně brzy. -
Jasne, a proto nam zastupci nekterych vetsich teamu treba pisi pravidelny serial vedle na rootu, ze? ;-) Vzdyt to je take svym zpusobem sluzba. A vubec, bezte se podivat, co dela vedle v Nemecku BSI. Proc to ti Nemci umi a ve svem vladnim certu poskytuji sluzby uzitecne pro sirokou odbornou verejnost a neni s tim problem - zatimco Cesi v ekvivalentnich funkcich se cukaji a misto toho jsme akorat svedky plnych kyblu vymluv? ;-) A jestli mi tu zacnete fnukat kvuli zakonum, tak si rovnou dejte facku a zeptejte se vy vite kde, proc teda se do toho zakona to co teda udajne chybi nepridalo, kdyz uz se resi zmeny kolem NIS2... :-) Asi by to nevyvolavalo takove vlny, jako prilepek s dodavatelskym retezcem, ktery s NIS2 nesouvisi - proste kdyz by ten urad nejen vymejslel koho vsecno navic zbuzerovat vyhlaskami, ktere mj. i popiraji soucasne trendy v kyberbezpecnosti, ale taky delal neco uzitecnyho pro odbornou verejnost... a klidne si tomu rikejte sluzby. A jsou veci, co vam tu psat primo nebudu.... ale muzem si klidne pujcit od klasiku - ono to piskoviste zas tak velky neni. A cenne informace o vnitrni mentalite uradu sem dodavate prubezne i vy sam ;-)
Armadu povolavame treba i na prirodni katastrofy, nejen na cilene utoky nepratel. A asi uz jste zapomel na nehraditelnou ulohu armady za Covidu - a to vcetne jejiho zapojeni na poli IT. Kdyby premysleli v armade jako premyslite vy, take by se mohli na nejakou chytrou karantenu z vysoka vykaslat, vzyt to preci neni v popisu jejich prace tvorit nejaky IT system. Jenze oni to narozdil od vas berou tak, ze kdyz je zle, tak se vykaslou na nejakou svou konstituenci a proste pomuzou, kde to je potreba. S vasi logikou by armada totiz nevylezla ven, dokud by nepadaly vladni budovy k zemi. Paralelou k tomu nam tu ted stale padaji banky (a k tomu cela rada nikoliv nevyznamnych instituci, viz ten telegram, ze...?) jako svestky... a vas to nechava zjevne chladnym... coz by ale nemelo. A nejak jste mi tu presel, ze to neustavaj i veci, co v konstituenci mate... :-)
-
Na urade sedi sice mizerne placeni lidi, ale porad jich tam je uz skoro tri sta, ze? ;-) A prumerny prepocteny plat 55 tisic nerikam, ze je vysoky - ale taky nejde o almuznu. Na lidi se v souctu v roce 2022 vydalo pres 260 milionu rocne a to malo penez proste neni. Penez tady utratime hodne - diskutabilni je spise efektivita vynalozenych prostredku. A ze je neco shnileho ve state ceskem nam pekne shrnula i APMS, ze? ;-)
Ona ta pomocna ruka muze mit spoustu podob, pocinaje prave tim sdilenim dostupnych informaci, o kterem tu stale dokola mluvim. I petkrat lip placeny expert v bance se v tom bude chvili placat, nez prijde na to, co se deje a informace v duchu to samy se delo jinde, spolecnym jmenovatelem je xyz proste pomuze. A pokud ta informace pujde vhodnym kanalem v predstihu, tak treba i pomuze se pripravit. To ticho v davno existujicich kanalech, ktere nam tu tech skoro trista lidi z uradu predvadi v tomhle smeru fakt lecive nebude.
-
Na tom není nic divného. Ten útok není zaměřený proti těm bankám, ty jsou jenom nástrojem. Ten útok má znejistit lidi, ukáže, že jim Rusko odkáže znepříjemnit život. Je to stejný princip, jako když na Ukrajině ostřelují školy, divadla nebo obytné domy – nezískají tím nic z vojenského hlediska, ale působí tím na veřejné mínění. Rozdíl je jenom v tom, že my jsme o úroveň dál oproti Ukrajině, proti nám Rusko vede jen studenou válku, na Ukrajině vede horkou.
-
Fio funguje jen napůl. Funguje webové i mobilní bankovnictví, ale ověření pomocí mobilní aplikace do té webové zafunguje vždycky až na druhý pokus. Mnohem horší je, že prakticky nefunguje přístup přes API. Dá se přistupovat z Firefoxu, což ale není to, co by člověk chtěl. Při přístupu z jiných systémů (nevím, na čem to záleží) server na TLS Client Hello reaguje utnutím komunikace. Chová se to tak i pro aplikaci Fio API Plus, která je referenční aplikací Fio banky pro práci s API. Tedy je tam něco zásadně špatně (zřejmě je to nějaký pokus o řešení DDoS, ale pokus dělající víc škody než užitku).
-
Je velká otázka, zda kybernetickou válku můžeme považovat za "studenou". Studená válka byla o něčem jiném, než o vzájmných útocích v jiné dimenzi, šlo "pouze" o zbrojení.
Kybernetická válka je válka jako taková akorát v jiné dimenzi, a tedy je velká otázka, zda již nedochází k porušení úmluvy NATO. Nicméně tady na to má Rusko (ale i NATO) poměrně dobrý způsob jak se od těchto skupin distancovat a tvrdit, že jde o pouhý útok "nějakých" hackerů. Navíc nikdo v NATO nemá zájem o konvenční válečení s Ruskem (tedy přesun valky i do jiných dimenzí), tak se to omezuje na obou stranách na "válku" v kyberprostoru. Nemysleme si, že na Ruské instituce neprobíhají (neprobíhaly a nebudou probíhat) obdobné útoky.
-
Asi byste mohl vedet, ze informace sirene uz i s tlp:green vam Google uplne nenajde, co? :-) Pokud to nevite (coz by bylo smutny), tak si doplnte mezery ve vzdelani a pokud to vite, dejte si facku za nesmyslnou otazku touzici po konkretnim odkazu. Prednasel jste nam tu o tom, ze NUKIB je tu vylucne od poskytovani sluzeb dovnitr, tak jsem vam na nemeckem protejsku demonstroval, ze vladni CERT poskytuje sluzby i institucim mimo svou formalni konstituenci. A cesty/kanaly, jak od vas sirit informace nade vsi pochybnost mate, i kdybyste to vzali a poslali do narodniho CSIRTu k dalsi distribuci (i ten toho mimochodem ve vyrazne mensim poctu lidi dela vic, nez slavnej brnenskej urad o skoro trista lidech), vlastne vam nic technicky nebrani to i posilat do prislusneho mailing-listu naprimo. A bavime se o tom, ze v Cesku tohle proste moc nefunguje a o tom, ze na uradech akorat vymysli zpusoby, jak hlavne nemit moc prace (takove te mravenci a nikdy nekoncici). Presneji receno ono to obcas i funguje - ale ucelove, podle toho jak se nekdo vyspi. Aneb kdyz se NUKIBu chce, tak spoluprace se soukromym sektorem problem neni, hlavne kdyz se u toho muzou pak vyfotit do novin... :-) Porad se vyhejbate odpovedi, proc cvicit se soukromym sektorem problem neni, ale kdyz se neco fakt doopravdy deje, tak se urad zacne vymlouvat na kompetence, legislativu a tak podobne :-)
-
V tomhle asi Danny naráží na to, že za týdny co tady útočí NoName057, tak všechny útoky jsou jak přes kopírák, trochu nevěřím tomu, že příprava ČNB byla na tenhle útok specifická.
Danny má pravdu v tom, že obrana není jednotná a každý si to řeší sám, stát v tom pomocnou ruku nepodává. Já si ale nemyslím, že to je takový problém, útoky jsou vždy tak sofistikované jak je jen potřeba k tomu, aby byly úspěšné.
Pokud tedy stačí mít na všechny stejný útok, mají na všechny stejný útok. Jakmile ale začneme pravidla a zkušenosti sdílet, útočníci začnou útoky dynamicky měnit a dělat je méně předvídatelné, což už jsme tady několikrát viděli, sdílení informací může krátkodobě pomoc, dlouhodobě to ale nic neřeší.
-
S tou studenou/horkou válkou naprosto souhlasím, při psaní jsem nad tím přemýšlel a použil jsem ty termíny takhle hodně nepřesně jen kvůli zjednodušení.
Jsem přesvědčený, že kyberútoky probíhající ze zemí NATO na Rusko nejsou obdobné, jsou v jedné podstatné věci jiné. Jistě probíhají útoky s cílem zneškodnit útočníky z Rusko útočící na nás. Jistě probíhají útoky snažící se získat data (zejména vojenská). Jistě probíhají útoky snažící se sabotovat vojenskou výrobu. Ale jsem přesvědčen o tom, že ze strany NATO neprobíhají kyberútoky s cílem vyděsit, znejistět nebo zastrašit civilní obyvatelstvo Ruska. A to byl (v opačném směru) přesně případ útoku na naše banky.
-
Za bezpečnost systému je vždy zodpovědný jeho správce. Je to podobné, jako když vás na silnici někdo nabourá pod vlivem alkoholu – je to vina toho řidiče a ne policie, která nehodě nedokázala zabránit.
A co se týká informování, pokud vaše domněnky vychází pouze z toho, že kdyby byla daná instituce informována, tak DDoS bude neúspěšný, tak to je bohužel hodně naivní myšlenka. Třeba tady ČNB říká, že se připravovali a stejně jim to úplně nepomohlo: https://www.irozhlas.cz/zpravy-domov/cnb-kyberneticky-utok-hackeri_2309011059_fos
-
Ano, to co popisujete jsou služby CERT/CSIRT a ty jsou zpravidla poskytovány konstituency. Když si třeba univerzita založí vlastní CERT/CSIRT, tak taky nemůžete čekat, že bude poskytovat služby mimo své fakulty.
A opět, vy tu prezentujete své domněnky, že někdo z konstituence informace nedostal či že jsou utajované. Jak to víte?
A příměr s armádou je dobrý. Když se stane v nějaké chatové oblasti pár vloupaček, stát nepovolá armádu to řešit. Ale pokud se lupiči vloupají do rozvoden elektřiny nebo vodáren, už ji možná povolá.
-
Spravci site delaji jen to k cemu maji prostredky resp. na co maji zdroje. Nic z niceho nevznika a za par dni solidni infrastrukturu bez penez nepostavite.
Navic pokud jsou spravci te site v zahranici ( to u novych cloudovych nagelovanych frikulinskych bank tak byva), tak je mozna je to pro ne priorita cislo 8 ani majitele sankce CNB nevytrhnou. Byl jsem toho svedkem kdy banka u ktere jsem pracoval radeji zaplatila sankci CNB nez aby problem dal resila. Protoze naklady na opravu systemu byly mnohem vyssi. -
Je potřeba si pročíst diskusi než něco přispěji, není to klasický DDoS, který zahltí linky, je to útok na zdroje web serverů. Takže to obecně nelze tak snadno poznat ani filtrovat.
Viz "Jsou to na prvni pohled zcela legitimi https pozadavky (na druhy uz ne, dabel je skryt v detailu), na objem nic zasadniho - radove par desitek megabit. A ze spousty zdrojovych adres..."
-
Problem je v bankach a jejich neschopnosti zaplatit lidi, kazda ma povinnost platit devadesatky (obdoba desatku, akorat se neplati 10%, ale 90% zisku) a proto nechteji mit penize pro cechy, pac se musi platit drazi odborníci v zahranici.
Jedne zde jmenovane bance jsem v lednu nabidl sve kvalitni sluzby, s tim ze jsem si rekl o adekvatni plat s 10% prirazkou pokryvajici alespon castecne inflaci a za rok dalsi jednani o platu. Je to bezna praxe.
Banka me odmitla s tim, ze mi da maximalne 50% toho co jsem si rekl, tak jsem jim podekoval za jejich cas a popral mnoho úspěchů s nabiranim novacku - pac nikoho jineho za ty penize nesezenou. A zelezne nervy pri vypadcich sluzeb. No netrvalo to dlouho a zhruba za 9 mesicu jsem zjistil nekolik vypadku bankovnictvi a ted tyto ddos utoky - kde jine banky byly za hodinu funkcni, tak tato jmenovana mela vypadek pul dne...
No hold nekde se ty zkušenosti a cena musi projevit.
ČLÁNKY DO MAILU