Administrace komentářů

...a ve chvíli, kdy ta škodlivá aktivita někde uvnitř Vaší sítě probíhala, podařilo se zjistit *aspoň něco* ? Které zařízení hrnulo ten škodlivý provoz ven do internetu? "kamerový systém" = IP kamera, nějaký dedicated server, nějaká pracovní stanice? Nebo jste tuhle informaci nedokázali zjistit? Prostě to skončilo samo dřív, než jste se stihli podívat?

Různé kamery a levné malé routery jsou poslední dobou napadány přes factory-default adminské heslo, které se vlastník/provozovatel nenamáhal změnit po uvedení krabičky do provozu. Napadená hloupá krabička je poté změněna na "zombie" - a často ani nedojde k napadení firmwaru ve Flash, k odstranění nákazy na samotné krabičce stačí restart (takže se znehodnotí obsah RAM). Pokud není napadená krabička vidět přímo z divokého internetu, mohl útok proběhnout nepřímo - nějaký malware potichu napadne počítač v LAN, potichu si stáhne "úkoly" a jedním z nich může být, oskenovat LAN na známé hloupé krabičky s defaultními hesly, a pokud nějaké najde, tak do nich "at runtime" propašovat zombie servisku. Která si pak zavolá domů o další úkoly.

Souhlasím, že detekovat podezřelou aktivitu v rámci LAN (skenování sítě a pokusy o zneužití default hesel) znamená, analyzovat provoz v LAN - na to by mohl stačit mirror port na strategicky umístěném switchi a nějaký box s IDS analyzátorem, nebo v nouzi wireshark (a samozřejmě znalosti).

Max už tady načrtl, jak postavit systém pro kompletní záznam metadat a ex post následnou analýzu. Pro okamžitý přehled "zrovna když to probíhá" stačí méně - osobně používám iptraf na Linuxu který mi slouží jako router. IPtraf ukáže hrubší obrysy, podrobnosti se dají zkoumat na tomtéž stroji tcpdumpem. Velmi se mi to osvědčilo už v řadě situací, kdy se nejednalo o nějaký zákeřný útok, ale něco někde se zbláznilo a začalo zuřivě sosat, nebo mi někdo omylem propašoval do LAN další DHCP server apod. Prostě důležité je "vidět", a lepší než nic je vidět co se děje "právě teď". Mikrotik RouterOS moc neznám - matně si vybavuji, že tomuhle účelu by mohl sloužit nástroj zvaný Torch. Na první pohled mi přijde docela mocný.

A souhlasím, že "least privilege" a oříznout přístup na web proxinou je to správné kladivo na všelijaké svinstvo, které závisí na přímém přístupu. Ve větší LAN síti s netriviálním počtem naivních uživatelů asi není jiné cesty. Svoboda do jisté míry funguje v malých firmách se znalými uživateli - ovšem včetně svobody pro lidskou chybu, které se občas dopustí každý, i admin. Tzn. šikanózní "least privilege" je dobré i jako ochrana proti vlastním přehmatům.

Všelijaké antiviry... většinou šikanují uživatele více či méně zjevnými omezeními, občas kvůli antiviru hapruje něco užitečného (třeba transport e-mailu mezi klientem a místním serverem), a reálně stejně chytají většinou jenom dávno známé primitivní hrozby. Tradičně antiviry lovily především viry podle známých signatur, ale nechávaly převážně plavat všelijaký adware, phishingové útoky a podobné "neškodné" svinstvo. Přitom už mnoho let frčí útočný malware, obvykle bez virových autoreprodukčních charakteristik, zato se schopností maskování proti "kontrole signatur". Primitivní phishingový útok "bububu, kliknete nám semhle kamsi do tramtárie a řekněte svoje heslo" většinou proleze všemi filtry, pokud je dostatečně často obměňován a používá dostatečně obecnou=nefiltrovatelnou slovní zásobu. Nebo: už Vám někdy antivir vynadal, že jste spustil Telnet nebo SSH na nějakou krabičku v LAN?

Za co bych osobně dával kázeňské tresty je čtení a forwardování soukromých žertovných mailů s přílohou. A sledování filmečků s velkým podílem pleťových odstínů bych povolil jenom ze správně nastavených ne-windowsových systémů, pokud existují uživatelé, kterým to nelze kategoricky zakázat (V momentálním zaměstnání naštěstí tenhle problém nepotkávám.)

Off topic:

Popravdě mi delší dobu vrtá hlavou, jestli na ovládání internet bankingu nevyhradit finančnímu odd. dedicated PC s Linuxem, na které by se nedalo dostat na dálku přes remote desktop (případně to povolit jenom opačně, z tohoto stroje přes RDP třeba na terminal server s účetnictvím a spol). Na tom linuxu nakonfigurovat jenom přes imap nebo interní webmail a sambu přístup k dokumentům, ze kterých se přes clipboard extrahují platební kontakty.