Archiwum kategorii małe i średnie firmy

Od Javascriptu do ransomware’u

Od kilku dni w mojej skrzynce pojawiają się wiadomości, które rzekomo sam do siebie wysłałem.
e-mail
Takich maili przychodzi coraz więcej, najwyraźniej włamywacze komputerowi nauczyli się sprawniej omijać filtry antyspamowe. W załączniku takiego maila, zamiast pliku wykonywalnego lub dokumentu z eksploitem znalazłem coś innego – jest tam pojedynczy plik ze skryptem:
zrzut_ekranu-CUT3261123725.js (-tmp-.fr-LJvW3c) - gedit
Jak widać jest to zaciemniony kod Javascript, który ma za zadanie pobranie dalszych składników złośliwego oprogramowania. Trudno odmówić twórcom poczucia humoru – główna funkcja, która składa i pobiera malware nazywa się „instability”.
Niestety obfuskacja Javascriptu jest dość skutecznym narzędziem, bo nie każdy antywirus potrafi zablokować sam skrypt pobierający malware. Oto analiza z Virustotal.com, proszę zwrócić uwagę których producentów NIE ma na liście:
zrzut_ekranu-66
Końcowym etapem będzie instalacja złośliwego oprogramowania, które zaszyfruje dokumenty użytkownika i zażąda za nie okupu. Wyniki analizy w środowisku piaskownicy nie pozostawiają wątpliwości – to jest znany wirus o nazwie Locky:
locky
Pamiętajcie – nawet zwykły plik tekstowy w pospolitym archiwum ZIP może przynieść szkody, jeśli tylko pozwoli się na uruchomienie zawartego w nim skryptu. Wirus działa w ukryciu i wyświetla komunikaty dopiero wtedy, gdy już jest za późno. Oto taki komunikat (źródło – blog F-Secure):
locky-recover-instructions
Niestety Locky, podobnie jak Teslalocker oraz Cryptolocker coraz częściej infekują komputery w polskich firmach. Obecne wersje nie mają już błędu w implementacji algorytmu szyfrującego i odtworzenie kluczy jest już znacznie trudniejsze. Złodzieje nauczyli się także usuwać kopie migawkowe na woluminie, zatem odtworzenie danych za pomocą przywrócenia stanu sprzed infekcji będzie o wiele trudniejsze. Na szczęście nie potrafią usuwać plików z systemów obiegu dokumentów, a w kilku przypadkach pomaga sprytna sztuczka, polegająca na dołożeniu do profilu naprawdę dużego pliku (2GB) zawierającego losowe dane, opatrzonego odpowiednią nazwą. Za złośliwym oprogramowaniem Locky prawdopodobnie stoją ci sami ludzie, którzy rozsiewają konie trojańskie z serii Dridex.

Disaster bez recovery

27 lutego firma Adweb napisała na swoim profilu Facebookowym i stronie 2be.pl o tym, że w wyniku włamania straciła kontrolę nad wszystkimi usługami hostingowymi świadczonymi dla prawie 2 tys domen. Procedura disaster recovery nie została zaimplementowana poprawnie, po dwóch tygodniach pracy udało się odtworzyć backup z czerwca ubiegłego roku. Na odtworzenie danych klientów tuż sprzed zniszczeń praktycznie nie ma szans. Dodatkowo negatywny przekaz wzmacnia totalnie nieprofesjonalny PR właściciela przedsiębiorstwa.

Więcej »

Nowe warsztaty

Wychodząc naprzeciw potrzebom ludzi z IT, rozpoczęliśmy nowy cykl warsztatów, które dostarczą solidną porcję wiedzy. Tym razem wielki nacisk kładziemy na zagadnienia prawne – warsztaty trwają dwa dni i cały pierwszy dzień będzie dotyczył właśnie tej części wiedzy, której czasami działom IT brakuje.
Zajmiemy się:

    • prywatnością,
    • monitoringiem działań pracowników (miałem zawsze bardzo dużo pytań związanych z monitoringiem przy poprzednich szkoleniach)
    • ochroną danych firmowych,
    • incydentami bezpieczeństwa, a także
    • obecnością pracowników firmy w sieciach społecznościowych.

Część prawną poprowadzą wybitni specjaliści z kilku kancelarii. Drugiego dnia przedstawimy zagadnienia związane ze współpracą z organami ścigania (gościem i prelegentem będzie Przemysław Krejza, prezes Stowarzyszenia Instytut Informatyki Śledczej), a także ciekawą sesję związaną z monitoringiem ruchu sieciowego i podatnościami bezpieczeństwa w firmowych aplikacjach webowych. Pokażę w jaki sposób sprawdzić czy hasła rzeczywiście są szyfrowane w tranzycie, jak sprawdzić czy komunikacja odbywa się we właściwy sposób, a Piotr Matuszewski pokaże zestaw błędów programisty webowego, które mogą skutkować utratą danych firmy.
Na deser – pokaz zdalnego przejęcia kontroli nad stacją roboczą Windows XP w sposób całkowicie niezależny od działań jej użytkownika oraz opis kompletnego ataku phishingowego razem ze sposobem obrony przed czymś podobnym.
Szkolenie IT
Zapraszam 24 i 25 kwietnia do hotelu Sound Garden przy ul. Żwirki i Wigury 18. Rejestracja jak zwykle u Oli Krupińskiej.

Nowa odsłona starej technologii

Pagery gościły już na tym blogu. Urządzenia te w Polsce nigdy nie zyskały wielkiej popularności. Główną przyczyną była jednostronna komunikacja, czyli brak powszechnie dostępnych telefonów stacjonarnych z niezawodnie działającymi automatycznymi połączeniami międzymiastowymi. Obecnie pagery mają swoją niszę w centrach logistycznych albo … w restauracjach. Na targach CeBIT była oferta właśnie takich urządzeń, kierowanych do restauracji, do przywołania pracowników w obrębie firmy (np. w dużym sklepie lub szpitalu).
DSCF7727
DSCF7733
Odbiorniki mogą być duże i trudne do zgubienia (jak wyżej) lub małe, łatwe do noszenia:
DSCF7726
DSCF7725
W odróżnieniu jednak od muzealnego Polpagera, nie będzie to usługa kierowana do wielu abonentów. Obejmie ona zasięgiem jedynie budynek jednej firmy (na przykład restauracji), ale tam sprawdzi się doskonale. Można postawić czarny dysk na stole i gdy nadejdzie pora odbioru przygotowanej potrawy, urządzenie powiadomi o tym głodnego gościa.

Aplikacje a jakość łączy

Konstruktorzy aplikacji muszą wziąć pod uwagę różne warunki ich eksploatacji. Chociaż w reklamach usług dostępu do Internetu nie wspomina się o takich miejscach, aplikacje mobilne muszą działać także wtedy, gdy opóźnienia sięgają dziesiątek sekund, a na łączach ginie ponad 10% pakietów. W takich warunkach nie działa mobilny klient poczty Exchange, nie da się zamapować dysku przez CIFS, VPN w technologii PPTP zrywa połączenie, a jedyne co czasami działa, to SSL VPN w systemach takich jak Linux i OS X. Pocztę da się odebrać jedynie przez Web Access. Nie działał mobilny klient systemu ERP, nie dało się synchronizować danych do mobilnego CRM. Jeśli w firmie wdraża się system mobilny, należy wziąć pod uwagę także możliwość połączeń o bardzo niskiej jakości. Należy zadać sobie pytanie – czy producent w ogóle testował aplikację do pracy przy łączu rodem z ubiegłego wieku?
Oto przykład wzięty z praktyki – jest to łącze komórkowe dostarczane przez jednego z polskich operatorów. Na 1272 wysłanych pakietów ICMP echo, odpowiedź otrzymano 1056 razy (czyli utracono 16% pakietów), średni czas od wysłania do powrotu to 11 sekund (tak – 11 tysięcy milisekund!), maksymalny zarejestrowany to 41s. Modem cały czas zgłasza dostępność sieci w technologii EDGE, sygnał na poziomie -74dBm (czyli silny). Lokalizacja – 60km od Warszawy, województwo mazowieckie. Pomiar wykonany 8 lipca 2013r. Jeśli wierzyć użytkownikom, jakość usług transmisji danych w tym miejscu u tego operatora pozostaje na tym samym poziomie od 2002r.

Rachunek sumienia adminów

Lotem błyskawicy obiegła Polskę informacja o włamaniach do Kancelarii Prezydenta, Kancelarii Premiera, Ministerstwa Obrony Narodowej czy Ministerstwa Spraw Zagranicznych. Człowiek, który to zrobił, nie korzystał z bardzo skomplikowanych narzędzi, wykorzystał jedynie niedopatrzenia i niedostatki, jakich pełno w firmach, nie tylko w Polsce.
Admini, zróbcie rachunek sumienia:

  • Kto trzyma hasła na pulpicie w pliku tekstowym?
  • Kto nie wyłączył przechowywania LM i nie zablokował lokalnego administratora na stacjach roboczych?
  • U kogo administrator domeny jest administratorem stacji roboczej? Kto nie przeznaczył do tego celu osobnych kont helpdeskowych?
  • Kto nie włączył blokowania konta po kilku nieudanych logowaniach?
  • Kto pracuje codziennie cały czas na uprawnieniach administratora domeny?
  • Kto nie ustawił ograniczeń na wykonywanie skryptów PowerShell?
  • Kto nie ograniczył logowania kont usługowych oraz tych o wysokich przywilejach?
  • Kto nie wprowadził separacji podsieci stacji roboczych od serwerów za pomocą dobrze ustawionego firewalla?
  • Kto nadal nie posiada oprogramowanie HIPS na wszystkich serwerach Windows?
  • Kto nie poblokował praw wykonania niepodpisanych binarek i nie monitoruje %TEMP% (Windows), a partycje /tmp i /home nadal nie są montowane z opcją nosuid, noexec, nodev (Linux)?
  • Kto nie kontroluje logowań użytkowników o wysokich uprawnieniach do narzędzi webowych (OWA, Sharepoint)?
  • Kto nadal nie może lub nie chce wdrożyć dwuskładnikowego uwierzytelnienia np. za pomocą kart chipowych lub tokenów?
  • Kto nie pilnuje logowania do usług takich jak FTP?
  • Kto nie monitoruje nieudanych logowań per organizacja?

A właśnie powyższe podatności systemu IT jako całości zostały wykorzystane do ataku. Jestem przekonany, że w większości polskich firm, w tym także tych analitycznych, wręcz ociekających wiedzą, podobny test penetracyjny zakończyłby się porównywalnym sukcesem.
Jak zachęcić kogoś do otwarcia załącznika? Przejąć konto jednego z pracowników, poszukać w „wysłanych” odpowiedniej wiadomości, przekazać dalej podmieniwszy załącznik. Dodać przy tym komentarz. Nie zdarzyło się jeszcze, by ktoś miał wątpliwości, bo przecież z tą osobą wymieniał maile „jeszcze wczoraj”, wiadomość jest w tej samej sprawie i tak dalej. Socjotechnika jest jedynie pomocą, zresztą ona prawie zawsze działa. To tylko kwestia „odrobienia lekcji” przez włamywacza. Luka w Excelu, Javie, Flashu czy Readerze jest tylko jednym z narzędzi, czasami niezwykle skutecznych.

Tagi: , , ,

Nokaut serwerów

Nie tylko Andrzej Gołota poleciał na deski. Strona internetowa jednego ze sponsorów, reklamowana na torsie boksera, poddała się pod naporem zainteresowania internautów i wyświetlała jedynie komunikat „503 Service Unavailable”, aż wreszcie całkiem poległa i przestała w ogóle odpowiadać. Pady serwerów nie są niczym nowym, niejednokrotnie dotykały firm podczas dużych konkursów lub akcji marketingowych. Kilka lat temu także Wielka Orkiestra Świątecznej Pomocy podczas licytacji serduszek odnotowała tak silny wzrost obciążenia, że specjaliści z firmy Sun obsługujący serwery byli przekonani, że stali się ofiarą wybitnie nasilonego ataku DDoS. A tymczasem to „tylko” cała Polska sprawdzała stan licytacji…
Popularnie przeciążenie nieprzygotowanego serwisu nazywa się efektem Wykopu lub Slashdota – czyli masowym wzrostem zainteresowania stroną spowodowanym nagłą publikacją w medium, które przyciągnęło o wiele więcej widzów, niż planowano.
Twórcy serwisów internetowych w małych firmach zazwyczaj nie mają dużego doświadczenia w utrzymywaniu tych serwisów przy życiu podczas intensywnej kampanii marketingowej. Na co dzień taki serwis zazwyczaj działa na słabym sprzęcie lub łączu, albo jest hostowany u operatora, który nie przykłada się do masowego hostingu. Ten obyczaj dotyczy różnych operatorów, włącznie z największymi i najmocniej reklamowanymi, w których najtańsze oferty posiadają ograniczenia – te ograniczenia takie jak np. MaxCGI skutkują niedostępnością strony. Niekiedy ograniczenia te są opisywane głęboko w dokumentacji, a dostawcy nie informują o tym klienta – nawet w hostingu określanym mianem biznesowego. Skutek? Error 503 przy nawet niedużym dodatkowym obciążeniu. Niektórzy operatorzy hostingowi stają się słynni z takich błędów.
A wtedy może się okazać, że inwestycja w reklamę poszła na marne, że przygotowaliśmy sobie antyreklamę. Taką antyreklamę ma coraz więcej firm, które na ślepo zawierzają ofertom masowego hostingu.

Tagi: , , ,

Myślisz o Microsoft Office 2013? Uważaj na nową licencję

Najnowszy pakiet biurowy będzie licencjonowany na mocy nowej EULA. W skrócie – wersja pudełkowa będzie zachowywać się tak, jak dawniejsze OEM, czyli będzie przywiązana do komputera i systemu, na którym pakiet został aktywowany po raz pierwszy. Oznacza to, że użytkownicy w firmach, które zakładają długoletnią eksploatację oprogramowania (na przykład aż do ukończenia jego wsparcia technicznego) będą płacić wielokrotnie za ten sam produkt. Będą zmuszeni do zakupu nowej wersji pełnej (pudełkowej) razem z nowym komputerem, co oczywiście radykalnie podnosi koszty.
Ruch ten może być odebrany jako zachęta do korzystania z modelu subskrypcyjnego Office 365, ale nie sądzę, by polskie przedsiębiorstwa były zadowolone zmianą licencyjną. Ciekawe co na to organizacje antymonopolowe UE, bo wedle mojej wiedzy Office 2013 nie będzie mieć żadnej wersji, którą będzie można przenosić między komputerami – a to ma miejsce w wielu firmach w miarę wymiany sprzętu.
Jako ciekawostkę podam, że nadal 25% plików biurowych DOC, które dostaję z różnych firm z zewnątrz i organizacji społecznych, pochodzi z pakietu Microsoft Office 2000. Na pierwszym miejscu znajduje się Office 2003 (45%). Najwyraźniej ludzie nadal nie chcą wstążek, eksploatują oprogramowanie, które już kupili, a nowy model licencjonowania na pewno się im nie spodoba.

Źródło informacji jest tu. Tekst na temat licencjonowania Office’a 2013 przygotowuje Ewa Stiller.

Aktualizacja!
Microsoft zmieni jednak umowę licencyjną EULA dla pakietu Office 2013. Prawdopodobnie zadziałał nacisk odpowiedniej komisji Unii Europejskiej.

Tagi: , ,

IT w WOŚP podczas Finału

Infrastrukturę Wielkiej Orkiestry Świątecznej Pomocy podczas Finału opisywaliśmy na łamach tygodnika Computerworld ponad dwa lata temu. Fundacja ta co roku organizuje finałową zbiórkę pieniędzy, jest o niej głośno w mediach, ale niewiele osób ma okazję zajrzeć za kulisy całego spektaklu. To tam z małej organizacji WOŚP staje się nagle bardzo dużą, korzystającą z nowoczesnych baz danych w konfiguracji klastra geograficznego, zaawansowanych systemów bezpieczeństwa oraz niezawodnej sieci. Organizacja ta posiada także plan ciągłości działania, na wypadek mało prawdopodobnych, ale mimo wszystko możliwych awarii. Przedstawiam tych, których zazwyczaj nie widać – oto finałowe IT Orkiestry widziane okiem kieszonkowej kamery Technobloga.

Testuję iSCSI

W małych instalacjach łączenie zasobów za pomocą iSCSI stało się bardzo popularne, zatem postanowiłem w praktyce przetestować takie połączenia. Uważam, że jest to dobry i tani sposób na uruchomienie elastycznych środowisk serwerowych – do połączeń można wykorzystać trunk kilku łączy gigabitowego Ethernetu albo coraz popularniejsze i tańsze karty 10GbE. Testy przeprowadziłem w dwóch najważniejszych systemach – Windows Server 2012 i Ubuntu Linux 10.04 LTS Server.
Więcej »