Copyright © 1998-2024 CDR server s.r.o.
Všechna práva vyhrazena.
ISSN 1804-5405.
Copyright © 1998-2024 CDR server s.r.o.
Všechna práva vyhrazena.
ISSN 1804-5405.
Myslel jsem, že budete pokládat otázky od čtenářů, jak jste slíbili. Třeba se zeptat, proč Avast dělá takové nepěkné věci pře skenování HTTPS.
Ale zřejmě byly povoleny jen otázky jako: Proč je Avast tak skvělý?
" budete pokládat otázky od čtenářů"
snad jsi tomu neveril :-D
Aby šlo skenovat HTTPS, musí se rozšifrovat. To by jeden neřekl, že? V podstatě jediná možnost je Man in the middle, vecpat se do datového přenosu mezi server a klienta, rozšifrovat, provést potřebné, zase zašifrovat - protože klient čeká zašifrovaná data. No a protože nemá k dispozici soukromý klíč ze serveru, musí to zašifrovat věrohodně vlastním klíčem, jinak by to browser nepobral. Kontrolu klíče serveru dělá Avast za klienta.
Asi by šlo ukládat někam nerozšifrovaná data a po kontrole rozšifrovaných je předat browseru. Problém je, že HTTPS předává data v jednom bloku místo desítek či stovek malých soubůrků, jak to dělá HTTP. Na větších stránkách by to zdržovalo, případně by mohlo docházet k timeoutům.
Ostatně si to můžete vypnout a HTTPS neskenovat.
Mohl sis ten odstavec ušetřit, já chápu, proč to tak "musí" být. To samé dělají s HTTPS i některé firewally ve firmách.
"Kontrolu klíče serveru dělá Avast za klienta."
Moje výhrada souvisí s tím, jak to ten Avast dělá. Úplně se třeba ignoruje HPKP. Avast také neumí OSCP Stapling, což narušuje klientovo soukromí.
S tím, že uživatel nemá možnost zkontrolovat původní certifikát bohužel nic dělat nejde.
"Ostatně si to můžete vypnout a HTTPS neskenovat."
Antivir nepoužívám.
No nevím, jak můžou v laboratořích Avastu luštit šifry... Buď je tvůrce ransomwaru debil a dešifrovací klíč nechává na počítači a nebo používá všude stejný.
Když použije útočník moderní šifru s náhodně vygenerovaným klíčem, který odešle na C&C server a poté jej smaže, tak se pánové s Avastu můžou snažit dešifrovat třeba 100 let a na nic přijít nemusí.
V takovém případě je jediná šance a to sice, že se podaří klíče z C&C serveru nějakým způsobem získat.
Když něco nevíte, stačí se zeptat.
Ransomware musí z něčeho klíč vygenerovat, a to ideálně tak, aby byl reprodukovatelný. Navíc autoři implementují sice známé šifry, ale tak, aby je antivirus pokud možno podle vzorcův kódu nepoznal, takže používají vlastní implementace, vzniká prostor pro chyby.
Pokud implementaci pokazí, sníží se třeba množina použitelných klíčů nebo síla šifry. Rázem je tak z 256 AES třeba 28bit AES. Generování klíčů taky nemusí být náhodné (díky Intel ME už v jejich procesor nemusí být nic náhodné...) a deterministické.
Samozřejmě dobrý ransomware těmito chybami netrpí. Ale stačí se podívat, kolik se jich prolomit dá, a kolik (zatím) ne.
"Když něco nevíte, stačí se zeptat."
To jako vás?
"Ransomware musí z něčeho klíč vygenerovat, a to ideálně tak, aby byl reprodukovatelný."
Proč by musel být klíč znovu reprodukovatelný? Klíč se vygeneruje, odešle na C&C server a pak se zahodí. A i na Woknech jsou použitelné zdroje entropie.
"Navíc autoři implementují sice známé šifry, ale tak, aby je antivirus pokud možno podle vzorcův kódu nepoznal, takže používají vlastní implementace, vzniká prostor pro chyby."
Citation needed. Moderní symetrické šifry, to jsou nejčastěji různe bitové operace a přesuny, tedy nic neobvyklého. Často jsou realizované pomocí AES-NI, takže antivir pozná, že se šifruje a to taky není neobvyklé.
To už je nápadnější, že nějaká aplikace přistupuje ke spoustě souborů a mění obsah.
"Pokud implementaci pokazí, sníží se třeba množina použitelných klíčů nebo síla šifry. Rázem je tak z 256 AES třeba 28bit AES."
No, takhle to nefunguje. Kromě toho AES 128 je v rozumném čase stále neprolomitelná šifra.
"Generování klíčů taky nemusí být náhodné (díky Intel ME už v jejich procesor nemusí být nic náhodné...) a deterministické."
DNGR negeneruje klíče, ale je generátorem entropie. Teprve z ní se generují klíče. Sice má DNGR slabiny, ale stejně se používá. Krypto knihovny si totiž generovaná čísla hlíají a vybírají jen ty části s velkou entropií.
Pokud by to bylo tak, jak tvrdíš a někdo dokázal kvůli slabému pseudonáhodnému generátoru lámat klíče, tak by to znamenalo, že se položí celý internet.
Ale tak to je, slabé pseudonáhodné klíče se dají prolomit. Jenom se do toho moc lidí nepouští, protože to není časově (finančně) výhodné.
A k problematice reprodukovatelných klíčů: Samozřejmě jde napragramovat kód, který pokaždé vytvoří náhodnou entropii, z toho vybere náhodný klíč, a pak klíč odešle a vše zahodí. Ale proč by to většina "hackerů" dělala tak komplikovaně, když se to dá udělat jednodušeji? Pro "hackera" je to práce navíc, když by pak musel na nějakém svém serveru vyhledávat klíč a zasílat ho zpátky na napadnutý počítač. Spousta ransomware se prolomila právě protože si nechala ve svém těle klíč k odšifrování souborů.
@Psycho Mantis
A jak jsi přišel na to, že by ty klíče měly být slabé? Útočník nebude psát vlastní krypto knihovnu, ale použije už existující s dobrou implementací.
"Ale proč by to většina "hackerů" dělala tak komplikovaně, když se to dá udělat jednodušeji?"
Proto, aby oběť neměla možnost dostat data, dokud nezaplatí?
"Pro "hackera" je to práce navíc, když by pak musel na nějakém svém serveru vyhledávat klíč a zasílat ho zpátky na napadnutý počítač."
Jeden HTTP POST na C&C server, uložení do databáze. Po zaplacení vatažení z databáze a doručení oběti (což musí provést tak jako tak).
Ukládání klíčů na servery útočníka je běžná praxe.
"Spousta ransomware se prolomila právě protože si nechala ve svém těle klíč k odšifrování souborů."
Netvrdím, že ne. Já tvrdím, že takové ransomwary jsou špatně napsané.
V minulé debatě jsem s Vámi většinou nesouhlasil. S výše uvedenými výroky se ale plně ztotožňuji.
"To jako vás?"
Psal jsem snad něco takového?
" Klíč se vygeneruje, odešle na C&C server a pak se zahodí. A i na Woknech jsou použitelné zdroje entropie."
Protože C&C server je nenápadná a udržitelná věc. Ne vždy se něco někam odesílá. Naopak, vy se chcete dostat tam, kde se nic odeslat nedá. Moje Windows třeba žádný klíč nikam poslat nemohou, pokud to nebude patřit mezi "trusted networks".
"No, takhle to nefunguje. Kromě toho AES 128 je v rozumném čase stále neprolomitelná šifra." Psal jsem o 28bit, ale byl to příklad. AES-NI viry moc nepoužívají, komplikuje to kód.
"DNGR negeneruje klíče, ale je generátorem entropie."
Mně by zajímalo, jak tu entropii ověříte, že má skutečně tu hodnotu, kterou ji přisuzujete. Pointa entropie je totiž v tom, že její skutečnou hodnotu neověříte, ať máte knihoven kolik chcete. Podezření, že HW generátory od Intelu jsou cinklé, se zatím nepodařilo vyvrátit, a asi nikdy nepodaři. Vyrobit entropii softwarově je dost obtížné, vždycky musíte data odněkud vzít, a tato data mohou být známa i po vygenerování klíče, je možné ho tedy vygenerovat znovu.
"Protože C&C server je nenápadná a udržitelná věc."
A kvůli tomu by měl útočník schovávat klíč na disku oběti?
"Moje Windows třeba žádný klíč nikam poslat nemohou, pokud to nebude patřit mezi "trusted networks"."
Vážně to tak máte? Jak chodíte na web?
Jestli si nakazíte počítač ransomwarem, který nedokáže klíč nikam odeslat, tím hůře pro vás.
"Psal jsem o 28bit, ale byl to příklad."
Bral jsem to jako překlep. Nic jako 28 bit AES neexistuje.
"AES-NI viry moc nepoužívají, komplikuje to kód."
Citation needed.
Ono je snad málo knihoven?
"Mně by zajímalo, jak tu entropii ověříte, že má skutečně tu hodnotu, kterou ji přisuzujete."
https://www.fourmilab.ch/random/
"Podezření, že HW generátory od Intelu jsou cinklé, se zatím nepodařilo vyvrátit, a asi nikdy nepodaři."
U Intelího RDRAND se ví docela bezpečně, že je "cinklý".
"Vyrobit entropii softwarově je dost obtížné, vždycky musíte data odněkud vzít,"
A proto jsou HW generátory. Ale i čistě v softwaru lze vygenerovat kvalitní entropii. Zkoušel jste někdy generovat klíče na virtuálním serveru?
Neexistuje 28bit AES ale existuje AES s efektivne 28bitovym klicem. Dela se snadno: staci, kdyz 228 bitu klice je znamych.
A "komplikuje kod" muze vadit virum ktere se pokousi o polymorfismus a podobne veci.
A softwarove kvalitni entropii vygenerovat nejde. Jde vygenerovat nekvalitni entropii. Pokud vemete cas v mikrosekundach a chvili nad tim tocite sifrovaci a hashovaci funkce, muzete z toho vygenerovat klic u ktereho se velice spatne poznava ze je v nem jenom 24 bitu skutecne entropie ... dokud si nekde vedle nepustite stejnou funkci a nevygenerujete si tech milion moznych klicu (predpokladam, ze vterina je znama). Ejhle, AES s efektivne 24bitovym klicem.
(Bezne generatory entropie bez dedikovaneho HW funguji tak, ze sleduji nededikovany HW: interrupty od klavesnice, od sitove karty ... i na virtualnim serveru ktery neni pripojeny do skutecne site ale komunikuje po virtualni siti s fyzickym serverem muzete sledovanim sitoveho provozu ziskat entropii ktera mozna neni uplne nahodna ale bude narocne ji zopakovat, protoze ten fyzicky server bude odesilat packety v tempu ovlivnenem situaci na fyzicke siti.)
Ano, vážně to tak mám. Na web na Windows nechodím, nejsem sebevrah :-D mám to jen jako herní konzoli, je tam Steam a ovladač na grafiku. To, že nemožnost odeslání klíče je nevýhoda, si docela uvědomuju :)
"https://www.fourmilab.ch/random/"
Mně by zajímalo, jak tu entropii ověříte, že má skutečně tu hodnotu, kterou ji přisuzujete.
Na odkaz jsem nekoukal, nemá to význam. Matematiku neukecáte.
Nevím jak ve Windows, na Linuxu si /dev/random kvalitu entropie hlídá, nicméně ne zrovna spolehlivě, a právě generování klíčů pro virtuály je problém. Však se koukněte, jak se tahle oblast mění, když už dávno "i čistě v softwaru lze vygenerovat kvalitní entropii". Asi to nebude až taková sranda.
"To, že nemožnost odeslání klíče je nevýhoda, si docela uvědomuju :)"
No nevím. Ransomware disk zašifruje a pak místo toho, aby ho odeslal, tak ho prostě zahodí. To mi jako výhra nepřipadá.
"Na odkaz jsem nekoukal, nemá to význam. Matematiku neukecáte."
Nesnažíte se snad vykličkovat?
"No nevím. Ransomware disk zašifruje a pak místo toho, aby ho odeslal, tak ho prostě zahodí. To mi jako výhra nepřipadá."
Co jste tím chtěl říct? Že mám urychleně vynechat firewall, protože v případě ransomware budu v háji? To si uvědomuju, jak jsem psal.
"Nesnažíte se snad vykličkovat?"
Dobře, odkaz jsem otevřel. Zbytečně. Není tam žádná nová informace o tom, že by se snad podařilo najít způsob, jak ověřit entropii. Nic k tématu.
Samozřejmě míru entropie je možné matematicky (statisticky) ověřit. Vždyť na tom stojí z velké části kvantová fyzika.
"Co jste tím chtěl říct? Že mám urychleně vynechat firewall, protože v případě ransomware budu v háji? To si uvědomuju, jak jsem psal."
Pěkný straw man.
Největší problém je, že vůbec nějaký ransomware máte v PC. A pak už je celkem jedno, jestli máte PC za firewallem, který nikam nic nepustí. Když ransomware klíč odešle, místo toho, aby ho zahodil, tak máte šanci, že C&C server bude odhalen a zabaven a ke klíči se dostanete. Tím ale neříkám, že byste měl vypínat firewall.
"Dobře, odkaz jsem otevřel. Zbytečně. Není tam žádná nová informace o tom, že by se snad podařilo najít způsob, jak ověřit entropii. Nic k tématu."
Matematika má metody, jak testovat entropii. Vy znáte nějaký důvod, proč by kvalita entropie neměla jít ověřit?
Na jakou VŠ jste chodil?
Jen v krátkosti k té entropii, vaše otázka je irelevantní. Matematiky si příliš vážím natolik, abych vám ukazoval, proč něco nejde, když jste nenaznačil jediný způsob, proč by to mělo jít. Prokažte, že ji ověřit umíte, a kromě toho, že mě slavně porazíte, dostanete také nobelovu cenu a pár dalších pro vás zbytečných ocenění.
Aha, takže se jen vytáčíte.
Dobrý den,
díky za všechny komentáře.
tl;dr: Ano, pokud je ransomware napsaný bezchybně (klidně i bez použití CnC), tak soubory bez znalosti klíče nikdo nerozšifruje. Jak ale sám píšete, i tak je tu šance. Dešifrovací klíče se mohou úmyslně či neúmyslně dostat ven, což se nezřídka děje. Také existuje šance na dohledání klíče v paměti, souboru, nebo některém logu (např. HTTP dotazy).
To téma "luštění šifer", jak píšete, je poměrně obšírné a dalo by se o něm dlouze diskutovat. U drtivé většiny kmenů se používá symetrická kryptografie, což pro autory ransomwaru znamená teoreticky i implementačně vyřešit tři hlavní úkoly:
1) Generování klíče.
2) Šifrování souborů klíčem.
3) Uložení / odeslání klíče.
V každém z těch bodů se dá udělat chyba, která umožní dešifrování. Bezchybný ransomware tak rozhodně není pravidlem. Např.
1) Použití PRNG; fixní klíč; klíč odvozený z konfigurace infikovaného systému; RNG s nízkým počtem bitů/entropií atd.
2) Použití slabého algoritmu; volba nevhodného módu u blokových šifer či fixní IV; chyba v implementaci atd. Člověk by se až divil, kolik autorů se snaží vymyslet svůj vlastní kryptografický algoritmus. Ve výsledku to pak vypadá tak, že je jako "Military Grade Encryption" obětem prezentován obyčejný XOR :)
3) I když se první dva body podaří implementovat správně, co pak s klíčem? Některé kmeny ho nechávají v infikovaném systému, z čehož plynou další možná slabá místa pokud nebyl klíč opět nějak vhodně zašifrován, nebo pokud je díky forenznímu inženýrství možné dohledat jeho nešifrovanou podobu. Jiné kmeny se snaží klíč co nejdříve odeslat na CnC, nebo i bod 1) nechat na CnC serveru. I to má ale pro autory ransomware svá úskalí: server může být zabaven (pokud jsou na něm klíče, vznikne decryptor), nebo odstaven a v tom případě se buď nic nezašifruje (tj. žádný zisk), nebo dojde k "zahození" klíče a nemožnosti obnovit data ani po zaplacení (naštvaní "zákazníci" -> žádná další platící oběť -> žádný zisk).
Dále ještě autor ransomwaru musí počítat s tím, že musí oběti po zaplacení umět poskytnout svůj vlastní decryptor. Hned několik kmenů trpím tím, že jeden decryptor funguje pro všechny oběti.
Toto všechno je potřeba ověřit a když se zadaří, může vzniknout decryptor podobný těm, které zdarma poskytujeme https://www.avast.com/ransomware-decryption-tools.
S pozdravem,
Jakub Křoustek
Ocenuji uprimnost: "pornografické, nebo „warez“ servery mají daleko lepší zabezpečení"
Jinak souhlas i s prvnim pravidlem ZALOHOVAT!
"když nakazíte 2 své kamarády, tak Vám data vrátí i bez zaplacení" kruté :D
Asi to nutně nemusí být kamarádi ;), ale možná bych si tu práci dal, abych naklonoval další dvě PC, která bych tím "nakazil".
Ono to není tak jednoduché jen je nakazit, oni ti další dva jim musí zaplatit abys dostal ten dešifrovací klíč zadarmo. Akorát to už pán v rozhovoru nepovažoval za nutné zmínit....
To mi mělo dojít ... (-_Q)
Dobrý den,
díky za doplnění mé odpovědi. Ano, je to přesně tak, jak píšete. Snad kvůli tomu nikdo ze čtenářů nenakazil své kamarády.
S pozdravem
Jakub Křoustek
Zajímalo by mě, jak je to s rozšířením ransomwaru na ostatních systémech jako linux, macOS, android apod.
Už delší dobu vznikají viry na mobily (android, iOS, atd.) , to není žádná novinka.
Na Linux a macOS viry jdou udělat, ale nikomu to nestojí za námahu. Pro "hackery" jsou nějaké 4% trhu nezajímavé. Navíc z principu chcou cílit viry na nezkušené uživatele, kteří jsou schopni podlehnout nátlaku a zaplatit... a ve většině případů neznalí lidé mají Windows.
Jistěže existuje ransomware pro Linux: https://en.wikipedia.org/wiki/Linux.Encoder.1
Pro útočníky je linuxový desktop nezajímavý, ale na Linuxu běží i servery...
Na MacOS to neni moc jak chytit, pro linux to plati taky, ikdyz asi by se dalo dostat a zasifrovat /home slozku, jenze tu maji obvykle linuxovy uzivatele zalohovanou, takze se cili hlavne na BFU a ti jsou na Windows.
Co se tyka Androidu, tak ani tam neni moc sanci to nejakym zpusobem zasifrovat. Na SD-kartu se bez rootu vubec nedostanete a aplikace bezi v sandboxu a nemate moc sanci pres to prejit. Musite teda vyuzit nejake bezpecnostni chyby v samotnem systemu, jenze tich je malo a treba Samsung si system chrani jeste bezpecnostni vrstvou KNOX a pres tu je hodne mala sance prejit. Takze zase jsme u toho sameho, i na Androidu se cili na BFU, kteri si kupuji noname "cinu" (nemusi byt nutne original z Ciny - Prestigio), kde jsou v Androidu bezpecnostni chyby vinou vyvojaru hardwaru, ktere se v cistem Androidu nenachazi.
"Na MacOS to neni moc jak chytit, pro linux to plati taky"
Tak to pak nevím, kde se vzaly ty miliony napadených IoT krabiček. Jestli to spíš nebude tím, "jak" se systém používá.
"Musite teda vyuzit nejake bezpecnostni chyby v samotnem systemu, jenze tich je malo"
Strašně málo... https://www.cvedetails.com/product/19997/Google-Android.html?vendor_id=1224
A jak tak koukám, je to čím dál lepší...
Ty miliony napadenych IoT krabicek maji nejspis remote exploitable diry v aplikacich bezicich nad tim linuxem. Pro bezneho uzivatele linuxu je nejvetsi riziko dira v internetovem prohlizeci, JENZE tou by se dostali jen na uzivatelsky ucet a na uzivatelskem uctu se blbe dela transparetni desifrovani zatimco sifrujes dalsi soubory (da se, pres LD_PRELOAD, ale je to narocne) ... pro uzivatele windows je nejvetsi nebezpeci ze pusti neco z mailu, a to na linuxu temer nehrozi. Proste, linux desktop je narocny a nezajimavy cil. Ty IoT jsou snaze napadnutelne, je jich vic ...
Co se tyce serveru, nejlepe je cilit typicke produkty pro BFU jako je wordpress.
Dobrý den,
z vyjmenovaných systémů mají už všechny nějakou zkušenost s ransomwarem. Android je pro ransomware nyní již běžným cílem a různých "screenlockerů" a "file-cryptorů" je celá řada. U Macu si vybavuji tak dva tři kmeny, pro jeden z nich jsme zrovna dnes vydali decryptor (https://blog.avast.com/mac-findzip-ransomware-decryption-tool-helps-you-...). Na Linuxu to byl například již zmíněný Encoder. Je potřeba ale pamatovat i na ransomware, který cílí na konkrétní služby/aplikace. V současnosti například útoky na nechráněná MongoDB - není potřeba šifrovat vše na linuxovém db serveru, stačí jen ta databáze...
S pozdravem
Jakub Křoustek
Ahoj,
jiste je pravda, ze "vir" nebo spravneji recene ransomware je pro kazdy system. Me spis zajima prakticka zkusenost. Je mozne, ze "Marce" nekdo zasifruje jen tak zvenci telefon? Neni.
V drtive vetsine nakazenych zarizeni byl spoustecem celeho procesu sam uzivatel a to nikoli hloupym kliknutim nekam do nejake webove stranky, ale cilenim vyhledanim problemu teda vlastnim zavinenim.
Ano mam na mysli predevsim warez, a to jak na Windows, tak na Androidu. Sance chytit neco se zakazanyma neznamyma zdrojema je minimalni a sice uz se nekolikrat neco na Google Play naslo, ale jsou to doslova kapky v mori. U Applu na iOS je proniknuti na jejich Store jeste slozitejsi. Ve vysledku tak problem nastava hlavne v okamziku, kdy uzivatel cilene obchazi zakladni ochrany OS a takzvane si nabehne. To ale neni pripad bezneho uzivatele.
Jiste to budes popirat, protoze koho chleba jis, .... Chapu to. Nicmene ja tvrdim, ze antivirova ochrana mimo zabudovane techniky, ktere jsou soucasti Windows, je pro bezne "newarezujici" uzivatele zbytecna a na Androidu je antivir bez root opravneni naprosto k nicemu. Je pro uzivatele mnohem vic obtezujici neustale skenovani (real protection) jejich PC a tomu dana ztrata vykonu hardwaru, nez sance chytit jakykoli typ viru, ktera je naprosto miziva.
Abych se dostal k odpovedi, muze byt, ze Android je pro ransomware beznym cilem, ale otazka je, zda-li je ransomware uspesny. Neni. Pri splneni zakladnich bezpecnostnich opatreni typu nepovolovat instalaci z neznamych zdroju (defaultne neni zapnuta), nemit pochybny noname telefon, jehoz kod vyvojari hardware totalne doprasili a hlavne vztekle neklikat na to, cemu nerozumim, neni sance pruniku na uzivateluv smartphone s Androidem. Jednoduse zakladni pocitacova gramotnost je nutna a zcela dostacuje jako ochrana, prirovnal bych to k situaci, ze dum taky uzivatel nenecha odemceny, kdyz odchazi pryc, proc by nechaval odemceny (instalace z neznamych zdroju) telefon?
Ale do baraku si klidne nainstalujes treba lampicku z neznameho zdroje (od "neumi ceesky" z trznice). Jasne, par lidi takhle nejspis vyhorelo, ale obecne je instalace neznamych veci do baraku bezpecnejsi nez do telefonu, protoze lampa zlodeji neotevre.
Jinak ovsem souhlasim, ze "real[time] protection" je pitomost pro BFU. Pocitacove gramotnemu staci firewall a antivir ktery explicitne pusti na veci ktere chce nainstalovat, a pak obcas pretestovat kdyz je update virove databaze. Pokud tedy nepouziva nejake derave aplikace jako byval a pravdepodobne stale je Internet Explorer nebo Microsoft Office (ActiveX, makra, ...). Pripadne Adobe Flash, ten je taky jako cednik.
"No, pokud máte třeba jako operační systém Windows, tak ten dělá tzv. Shadow copy, neboli stínové kopie Vašich dat a to mě napadá, že je třeba první možnost, kam sáhnout při útoku"
Az do chvile, nez zjistite ze chytrejsi ransomware umi vymazat i stinove kopie (+ zalohy ktere mate na USB klici, hned jak ten klic vlozite abyste udelal dalsi zalohu.. :)
Absolutní většina ransomware nebude čekat na moment, kdy si budete chtít zálohovat na externí úložiště. Když by dlouho vyčkávali, tak riskují, že antivirové programy začnou být schopni detekovat jejich verzi. Proto většina virů zašifruje data co nejdříve po infikování počítače.
Dis is one half.
Press any key to continue…
Prosim vas, uvedomme si jednu zasadni vec. Napsal jsem tu prispevek, jak tezke je proniknout na MacOS, linux a Android (mysleno cisty Android nebo prelozene zdrojaky nejakou schopnejsi firmou typu Samsung nebo Huawei).
Ale tezke je proniknout i na Windows. Samozrejme ze naplni vsech antivirovych firem je strasit uzivatele, aby si nainstalovali jejich programy, ale dneska mate ve Windows 10 defaultne zapnuty Windows firewall, Windows Defender a UAC. Pokud teda jeste bezny uzivatel a bezpecnost primo neresite a nejdete jako spravny frkulin vypnout po instalaci prvne UAC.
http://winaero.com/blog/how-to-turn-off-and-disable-uac-in-windows-10/
:-D :-D :-D
ofsem win FW je jaksi tak v jakym je stavu po instalaci k nicemu, protože si temer cokoliv muze komunikovat jak outbound, tak inbound.FW pokud je kvalitni a predevsim sparvne nakonfigurovany je zakladem bezpecnosti, ale to malokdo ma.Jinak pokud to uzivatel odklika, tak mu nepomuze nic, coz bude hlavni problem.Navebu pak noscript a je poreseno, idealne sandbox.Bohužel pro BFU lezouci fsude a klikajici na fsecko ochrana zadna neexistuje.
Noscript je zajimava myslenka ale bohuzel stale mene a mene stranek bez javasriptu funguje.
No zrovna defaultní ochrana Win 10 nebyl nějak moc dobrý případ "dobré ochrany".
- Jak tady ensslin poznamenal defaultní nastavený FW ve Win10 propouští prakticky většinu komunikace bez jakéhokoliv blokování nebo dotazu na uživatele.
- UAC není zrovna moc blbuvzdorné. UAC je většinou tak otravné, že hodně uživatelů si prostě po čase zvykla automaticky všechny dotazy odkliknout bez přemýšlení.
Obávám se, že "opatrných" uživatelů PC je menšina.
- Windows Defender? V dlouhodobých testech antivirů většinou nemá nějaké extra dobré umístění, takže jsem k němu skeptický.
Ano, pokud je uzivatel debil, tak mu nic nepomuze.
Moji rodice jedou na Windows, nemaji zadnou extra ochranu, vyuzivaji jen to co Windows poskytuje a nikdy nic nechytili, zadna nakaza se nikdy nekonala. Jsou to nejaky pocitacovy experti?
No rozhodne nejsou, otec jeste pred deseti lety vubec PC neovladal. Jak je mozne, ze nechytili nikdy "vira"? Vstipil jsem jim zasadu: Neklikej na to cemu nerozumis! (Staci to :-))
To je hezké, že vy a ani vaše rodina jste nikdy nechytili "virus".
Nicméně z vašeho případu A nelze vyvozovat závěr, že B nikdy nenastane. Tak to nefunguje.
V PC servise jsem viděl zasfiněné PC i od zkušenějších uživatelů, stačilo jenom málo (např. po rodinné dovolené půjčit USB s fotkama)
Kecy v kleci. Viz. ma odpoved nize, zkuseny uzivatel zbesile neklika na kazdy exac a automaticke spusteni po pripojeni ma zakazano. Jeste ze uz Microsoft tento nesmysl opustil a minimalne ve Windows 10 se nic takoveho nedeje a nakazit se nelze.
Dobrý den, můj dotaz bude trochu laický a uživatelský, tak se prosím nezlobte. Po zkušenosti s CTB-Locker nákazou přes Jabber (obnova dat byla naštěstí snadná ze zálohy, decryptor na něj zatím asi bohužel neexistuje) mám prohlížeč v sandboxu ( http://www.shadesandbox.com/ ) a všechny neprověřené spustitelné programy spouštím také v něm (Win 7/10). Obávám se však nákazy při připojení čehokoliv s pamětí do USB (přítelkyně nosí soubory z akademické půdy domů). Jak se bránit proti tomuto riziku a je tu vlastně nějaké? Případně na co dalšího si ještě dát pozor? Děkuji za odpovědi.
Ahoj,
muzes mi prosim osvetlit, jak jsi mohl neco chytit pres Jabber? To ti tam nekdo poslal odkaz, tys na nej klikl a nainstaloval si cryptolocker do PC? Opravdu by me to zajimalo, protoze nechapu, jak se neco takoveho muze prihodit. Moc predem dekuju.
Ohledne tveho dotazu: Nikoliv po pripojeni USB pameti nemuzes dostat zadnou nakazu do sveho PC. VZDY plati, ze samo se nic nespusti! Vzdyt musi byt uzivatel tim, kdo klikne a spusti nebo uz musi mit v PC nejaky pripraveny trojan, ktery to spusti za nej, ale v cistych Windows nikdy samo nic nelze.
Je tu jedna vyjimka, drive snad do Windows Vista, ale radeji si to over, pokud pouzivas jakoukoli starsi verzi Windows, mel Microsoft takovy debilni napad, ze kdyz je na flashce (cd, dvd) nejaky spustitelny soubor, tak ze ho asi uzivatel chce spustit a proto ho Microsoft spustil za nej. To bylo velmi idiotske od Microsoftu a tvurci viru toho hned vyuzili. Proto tenhle nesmysl pokrocilejsi uzivatele okamzite zakazovali pres registr systemu a pak se nemohlo nic stat.
Takze pokud mas starsi verzi Windows, over si situaci pres Google a vyhledej, co presne mas v registru zakazat a zakaz to. (Pritelkyne samozrejme nesmi zbesile klikat na kazdy exac, ktery najde na flashce, nakonec antiviry dnes nabizi, ze celou flashku radeji po pripojeni automaticky zkontroluji, takze pokud je obava, ze pritelkyne bude klikat, tak radeji nejaky vhodny antivir porid.
Tvoje odpověď je opravdu hodně zmatená a není úplně pravdivá. Snažíš se popisovat funkci autorun která byla řízena souborem autorun.inf. Toto byl významný problém pouze do Windows XP SP2. Bližší informaci najdeš na wiki.
Není úplně pravdou, že je nutná akce uživatele po připojení USB zařízení (flash disku). Najdi si útoky typu "Bad USB". Ve většině případu se ale jedná ale o cílený útok na konkrétního uživatele.
Jako hardware je použit flash disk s upraveným firmwarem nebo speciální hardware vypadající jako flash disk s nějakým MCU s integrovanou USB periferii (AVR, STM32, MSP430, atd.). Po připojení se to chová jako běžný USB disk kromě toho se ještě zenumeruje HID zařízení (klávesnice). A ta pak automaticky udělá nějakou neplechu... a útoků typu "Bad USB" může být celá škále.
Ano, mas pravdu, uz je to davno, autorun.inf automaticky spoustel exac umisteny na flashce, sam jsem takhle chytil kindrvir na pracovnim (nikoliv mojem) PC.
Jo, to je pravda, pokud to nebude flashka, ale MCU s flash pameti, tak samozrejme se mu tam spusti to co tam bylo naprogramovany. Nicmene nemyslim, ze hrozi, ze mu pritule prinese domu ze skoly prave tohle. A castecne by melo pomoct opet zapnute UAC. Pokud teda je paranoidni, tak at udela prituli vlastni user profil a na jeho veci mu to nesahne, proste jednoduse resitelne.
Bad USB je opravdu cílený útok na konkrétního uživatele. Takže je opravdu nepravděpodobné, že by si běžný člověk něco takového donesl domů.
Jako hardware ale může být použita obyčejná USB flashka. Musí ale mít ten správný chipset a někdo ji dopředu musí přeprogramovat. Na Internetu lze nalézt spoustu článků na toto téma. UAC je v tomto případě bezmocné.
To Redmarx:
Ano bylo to přesně tak jak jste popsal. Protože to bylo již před několika lety, tak si detaily nevybavím, ale zde jsou střípky:
1) ze serveru kde mám jabber acc (JID) začaly přicházet informační zprávy o upgradu jejich HW a přesunu pod jiný hosting, o změnách SW a v politice zabezpečení, o budoucích potřebných změnách na straně klientů, o plánovaných restartech a odstávkách a podobně, vše z oficiálního účtu
2) byly časté výpadky, velmi časté a někdy i dosti dlouhé, což bylo nepříjemné vzhledem k tomu, že to byl v té době pro mě důležitý komunikační kanál
3) poslední zpráva (ze stejného JID jako všechny předchozí zprávy) uváděla nutnost upgradovat klienty, což mělo vyřešit padání spojení, které mělo být z důvodu zpřísnění bezpečnostních protokolů (TLS, SSL, certifikáty nebo co, nevybavuji si)
4) na konci byl link na jejich domovskou stránku, který skutečně vedl na jejich skutečnou stránku podpory
5) ta však byla již hacknuta a obsahovala podvržené odkazy na zavirované soubory
6) soubor jsem stáhl, spustil a slyšel jsem pak už jen velmi zběsilou činnost datových HDD
7) vytrhl jsem kabel ze zásuvky a šel zjišťovat na druhém PC co dělat
Za těch pár sekund se mu podařilo zkonvertovat 9473 souborů typu:
ACCDB
BAS
C
CER
CONFIG
CPP
CRT
CS
DOC
DOCX
EPS
GROUPS
ISS
JPG
JS
ODT
PAS
PDF
PEM
PHP
PL
PPT
PY
RAR
RTF
TXT
XLS
XLSX
ZIP
A v každém napadeném adresáři zanechal instrukce jak dál postupovat: http://i.imgur.com/wTtRX3b.png
tl;dr: Metodou hackingu a sociálního inženýrství (navozením situace, při které je oběť ochotnější udělat něco co by jinak neudělala) bylo dosaženo svého.
Pár zkušeností s uživateli
Uživatel nikdy neví kudy to tam vlezlo
Nikdo nezálohuje ( včera jsem se chystal ale něco se nepovedlo)
Pár praktických rad
shadow copy - pokud je virus nesmazal tak super, ale to jsou dnes jen amatéři
zálohy na pevné disky network share - vesměs k ničemu - viry prolézají všechno co najdou
co funguje - zálohy schovat za nějakou aplikační bránu třeba: agentové zálohování, FTP, cloud v nejhorším připojovat share je pro zálohovací job přes neuložené heslo
ani když je vše ztraceno nemusí být úplně vše ztraceno většina virů co jsem prakticky viděl spěchala takže šifrovala jen začátek souboru často jen pár kB. U fotek z dovolené a domácích videí je šance zpětně rekonstruovat, dokumenty jsou obvykle ztraceny
Nikoliv, uzivatele se deli na ty co zasadne nezalohuji a na ty co uz o data prisli.
Zaloha na externi disk, po provedeni zalohy odpojuji, dve zalohy na dvou externich discich jsou dokonaly komfort a vyjde to na stejne jako placene antiviry. Paranoidni uzivatel muze mi zalohu na heslo, at uz na siti nebo v ramci standardnich opravneni.
Jak zálohovat několik terra dat ?
Moje první Atari bylo v rove 1986 myslím, těch počítačů jsem měl už opravdu hodně od té doby a vzpomínám si akorát na virus s poetickým názvem "Yankey doodle". za celé ty roky.
Kdysi mě kdosi postrašil a do firmy jsem koupil páskovou jednotku, na kterou jedna z holek měla za úkol ty data skládat. I když to fungovalo teoreticky inkrementálně, bylo to skoro na plný úvazek a když přišlo na věc stejně se nedaly obnovit.
U mě doma NAS asi 4 terra, 2 terra disk, disk ve Vu+, USB disk u Androidní krabičky s Kodi, disk u Dune, vše je v síti, mám systemový asi 100 giga fleš disk, na něm data nejsou, jen system.
Mně není jasné, jak ten rosomák projde pře Windows kontrolní otázku, že cosi, kdosi něco spouští.
Jak to obejde ?
Pro psaní komentářů se, prosím, přihlaste nebo registrujte.