Vlákno názorů k článku
Proruští hackeři vyřadili z provozu web centrální banky a J&T Banky [AKTUALIZOVÁNO]
od bez prezdivky ... - "Konkrétní detaily veřejně sdílet nemohu, protože bych mohl...
-
"Konkrétní detaily veřejně sdílet nemohu, protože bych mohl nahrát útočníkovi"
Jiste, utocnik totiz nevi, jak se jeho utok chova, jak na nej cilove subjekty reaguji a proto je potreba vse utajit, aby nahodou nevedel, ze se o tom vi. Zato ti, kteri by vedet meli a mozna s tim i neco mohli udelat, se nic nedovi, protoze je to tajne ... takze, proc by se tim vlastne meli zaobirat?
Utok z pohledu serveru toriz muze z pohledu site vypadat zcela nezajimave, ale treba zrovna nekdo v te siti by jej mohl alespon zeslabit, ale to by nejdriv musel vedet co ...
Jeste si nastavte (prisne tajne)nbusr123, a pak dejte vedet, jak to funguje ...
Edit: Nektere ceske banky (napr CSOB a FIO) nejsou (stale) dostupne ani z cech.
1. 9. 2023, 19:30 editováno autorem komentáře
-
Fio funguje jen napůl. Funguje webové i mobilní bankovnictví, ale ověření pomocí mobilní aplikace do té webové zafunguje vždycky až na druhý pokus. Mnohem horší je, že prakticky nefunguje přístup přes API. Dá se přistupovat z Firefoxu, což ale není to, co by člověk chtěl. Při přístupu z jiných systémů (nevím, na čem to záleží) server na TLS Client Hello reaguje utnutím komunikace. Chová se to tak i pro aplikaci Fio API Plus, která je referenční aplikací Fio banky pro práci s API. Tedy je tam něco zásadně špatně (zřejmě je to nějaký pokus o řešení DDoS, ale pokus dělající víc škody než užitku).
-
Legracni je, ze tady je zjevna snaha tutlat i informace, ktere se jinde bez obtizi a pomerne v detailu publikuji. Ten argument s nahravanim utocnikovi tady fakt postrada smysl. Naopak selhaly veskere systemy vcasneho varovani... informaci podobneho druhu je spousta, neni v silach jednotlivce ci malych skupin se vsim prokousat.
Navic zminovany FENIX je primarne projektem cilici na sitovou bezpecnost. Pochopitelne, na urovni poskytovatelu (ISP) do aplikaci moc videt neni - a v principu neni pro kazdeho, aneb ne kazdy ma autonomni system, ze? :-) Ale FENIX zdaleka neni jedinou platformou, kde se bezpecnost resi. Jeste dele nez FENIX je tu platforma kolem dnesniho CSIRT.CZ. Na sdileni bezpecnostnich informacich o aplikacnich utocich - je to podstatne vhodnejsi misto. Treba uz jen proto, ze tam nejsou jen sitari a muze se tam zapojit a realne se tam setka vic lidi. A vic hlav vic vi...
-
Ale prosim vas - ono kdyz se chce, tak se i s tim soukromym sektorem spolupracuje. A kdyz to neni problem u cviceni, proc tu pak cteme od pana Jakuba hlasky, ze vlastne se s tim soukromym sektorem moc bavit vlastne moc nechteji? ;-) Prece ta spoluprace nemuze skoncit jen u tech cviceni a simulovanych incidentu...
-
Tak znovu, my se nebavime o nejakem poskytovani sluzeb, nebo chcete-li konstituenci - ale o sdileni informaci, spolupraci, kooperaci a nejen o odrazeni dopadu problemu, ale take o proaktivni snaze jim predchazet. Vy to porad vnimate tak, ze se zavrete do sve bubliny a svet okolo neresite, ale to proste vnimate spatne. Mate o tom treba uz clanek 13 (stare) NIS, pripadne clanek 10 v nove NIS2. A takovych materialu najdete okolo mraky - ono ty smernice ostatne prevzaly praxi, ktera historicky vznikla odspodu a nenucene. S konstituenci v CR zas takove problemy nejsou, existuji tu prece desitky teamu, co definuji sva pole pusobnosti, nejake databaze kontaktu tu mame i ze zakona. Co ale uz moc nefunguje je prave to sdileni informaci. Treba takovy to jak bojovat s ruskym svabem...kdyz uz se neco konecne vyprodukuje, tak je to jeste div ne tajny - a ve smyslu zakona, nikoliv dle TLP (jehoz smysl je jiny) - a rozhodne se to ani k tem konstituovanym teamum nedostava zpusobem, jakym by melo. A vy se nam tu porad na neco vymlouvate. Jo, kdyz jde o to si jen hrat na cvicenich, tak to spoluprace statu s privatem problem neni a samozrejme je kolem toho i velke PR :-) Ale kdyz jde fakt do tuhyho a je rec o ostrem incidentu (co uz par mesicu trva), tak se zacnou se hledat vymluvy, proc to nejde a cele se to proste zadrhne... a jeste se u toho navenek tvarime, ze je vse v nejlepsim poradku. To je jak kdyby armada sice cvicila aktivni zalohy s nejmodernejsi technikou, ale v pripade skutecneho prusvihu by dotycne dobrovolniky odkazala na pilku ze supliku a nejblizsi les - s tim, ze ten klacek na umlaceni nepritele si maji tam obstarat sami.
-
Ano, to co popisujete jsou služby CERT/CSIRT a ty jsou zpravidla poskytovány konstituency. Když si třeba univerzita založí vlastní CERT/CSIRT, tak taky nemůžete čekat, že bude poskytovat služby mimo své fakulty.
A opět, vy tu prezentujete své domněnky, že někdo z konstituence informace nedostal či že jsou utajované. Jak to víte?
A příměr s armádou je dobrý. Když se stane v nějaké chatové oblasti pár vloupaček, stát nepovolá armádu to řešit. Ale pokud se lupiči vloupají do rozvoden elektřiny nebo vodáren, už ji možná povolá.
-
Jasne, a proto nam zastupci nekterych vetsich teamu treba pisi pravidelny serial vedle na rootu, ze? ;-) Vzdyt to je take svym zpusobem sluzba. A vubec, bezte se podivat, co dela vedle v Nemecku BSI. Proc to ti Nemci umi a ve svem vladnim certu poskytuji sluzby uzitecne pro sirokou odbornou verejnost a neni s tim problem - zatimco Cesi v ekvivalentnich funkcich se cukaji a misto toho jsme akorat svedky plnych kyblu vymluv? ;-) A jestli mi tu zacnete fnukat kvuli zakonum, tak si rovnou dejte facku a zeptejte se vy vite kde, proc teda se do toho zakona to co teda udajne chybi nepridalo, kdyz uz se resi zmeny kolem NIS2... :-) Asi by to nevyvolavalo takove vlny, jako prilepek s dodavatelskym retezcem, ktery s NIS2 nesouvisi - proste kdyz by ten urad nejen vymejslel koho vsecno navic zbuzerovat vyhlaskami, ktere mj. i popiraji soucasne trendy v kyberbezpecnosti, ale taky delal neco uzitecnyho pro odbornou verejnost... a klidne si tomu rikejte sluzby. A jsou veci, co vam tu psat primo nebudu.... ale muzem si klidne pujcit od klasiku - ono to piskoviste zas tak velky neni. A cenne informace o vnitrni mentalite uradu sem dodavate prubezne i vy sam ;-)
Armadu povolavame treba i na prirodni katastrofy, nejen na cilene utoky nepratel. A asi uz jste zapomel na nehraditelnou ulohu armady za Covidu - a to vcetne jejiho zapojeni na poli IT. Kdyby premysleli v armade jako premyslite vy, take by se mohli na nejakou chytrou karantenu z vysoka vykaslat, vzyt to preci neni v popisu jejich prace tvorit nejaky IT system. Jenze oni to narozdil od vas berou tak, ze kdyz je zle, tak se vykaslou na nejakou svou konstituenci a proste pomuzou, kde to je potreba. S vasi logikou by armada totiz nevylezla ven, dokud by nepadaly vladni budovy k zemi. Paralelou k tomu nam tu ted stale padaji banky (a k tomu cela rada nikoliv nevyznamnych instituci, viz ten telegram, ze...?) jako svestky... a vas to nechava zjevne chladnym... coz by ale nemelo. A nejak jste mi tu presel, ze to neustavaj i veci, co v konstituenci mate... :-)
-
Asi byste mohl vedet, ze informace sirene uz i s tlp:green vam Google uplne nenajde, co? :-) Pokud to nevite (coz by bylo smutny), tak si doplnte mezery ve vzdelani a pokud to vite, dejte si facku za nesmyslnou otazku touzici po konkretnim odkazu. Prednasel jste nam tu o tom, ze NUKIB je tu vylucne od poskytovani sluzeb dovnitr, tak jsem vam na nemeckem protejsku demonstroval, ze vladni CERT poskytuje sluzby i institucim mimo svou formalni konstituenci. A cesty/kanaly, jak od vas sirit informace nade vsi pochybnost mate, i kdybyste to vzali a poslali do narodniho CSIRTu k dalsi distribuci (i ten toho mimochodem ve vyrazne mensim poctu lidi dela vic, nez slavnej brnenskej urad o skoro trista lidech), vlastne vam nic technicky nebrani to i posilat do prislusneho mailing-listu naprimo. A bavime se o tom, ze v Cesku tohle proste moc nefunguje a o tom, ze na uradech akorat vymysli zpusoby, jak hlavne nemit moc prace (takove te mravenci a nikdy nekoncici). Presneji receno ono to obcas i funguje - ale ucelove, podle toho jak se nekdo vyspi. Aneb kdyz se NUKIBu chce, tak spoluprace se soukromym sektorem problem neni, hlavne kdyz se u toho muzou pak vyfotit do novin... :-) Porad se vyhejbate odpovedi, proc cvicit se soukromym sektorem problem neni, ale kdyz se neco fakt doopravdy deje, tak se urad zacne vymlouvat na kompetence, legislativu a tak podobne :-)
