16 svar i denna tråden

[Kent Ejdersand]

Tufft hos Eslövs kommun...

http://www.eslov.se/...barn.19710.html

Undrar vad de har drabbats av exakt och orsaken till det, något övriga kan ta lärdom av kanske..

H.
--Kent

[Markus Lassfolk]

Ja, och skulle också vara intressant att höra om deras Recovey Plan. Hur de gör tillväga för att komma till rätta med problemet.
Har de någon bra strategi för att installera om klienterna eller ska de försöka rensa dem?

[Jesper Johag]

Intressant, hoppas att alla verksamhetssystem är intakta och fungerar som de skall efter att de fått ordning på sina datorer.

Man skulle ju hemskt gärna vilja ta del av en rapport efteråt som beskriver vad som hänt.

Jag har träffat en del tekniker och IT-chefer från olika kommuner genom åren och min högst personligt samlade bild är att det tas hemskt lätt på patchhanteringen av nån anledning. Man hävdar att det jobbigt att hantera och att det är till mer skada än nytta. Vi har installerat alla släppta patchar på samtliga servrar och arbetstationer sedan SUS kom och hittils under alla dessa år bara haft två förhållandevis lättlösta incidenter pga detta. Jag vill hävda att det hade varit betydligt värre än så om vi hade skitit i patchhanteringen som många tycks göra. Jag vet inte hur det ser ut i den privata sektorn, det kanske är betydligt bättre där.

Att enbart förlita sig på virusskydd är ju kanske inte riktigt tillräckligt...

[erihje]

Jag som lämnade Eslöv med tåget igår eftermiddag

Som sagt skall det bli väldigt intressant om de släpper en rapport.

[Lennart]

Jag vill inte strö salt på såren osv, och är också intresserad av "rapporten", men mina funderingar tangerar ändå runt att centrala lösningar som att AD-anslutna datorer, filservrar osv. Ju större system ju större fall... Den aspekten kommer sällan fram...

[Markus Lassfolk]

Mja, jag håller inte med dig där Lennart.
Låt oss säga att Eslövs kommun hade kört alla klienterna och kanske även Servrarna i Workgroup på något magiskt sätt. Dvs inte centraliserat.
Är de inte patchade så finns det ju ändå jättestor risk att det hade spridit sig som en löpeld, (beroende på vad de nu drabbats av). Jag kan inte se hur en decentraliserad lösning skulle ha stoppat detta?

Visst, om man använt sig av någon typ av DSI där klienter inte får prata med varandra och bara med vissa servrar, där man då har AVS och skydd, om en klient blir infekterad så kan den inte sprida det vidare om det inte är något virus som hamnat i en PDF/DOC/XLS-Fil som flera personer accessar och arbetar med så klart.
Men använder man Domain Server Isolation i Workgroup miljön, så hade man ju kunnat göra det såååå mycket lättare i en centraliserad miljö.  

Eller kan du förklara hur du tänker och resonerar här? Jag kanske missförstod dig helt och hållet.

[Kent Ejdersand]

http://svt.se/2.3378...l_ha_losensumma

[Lennart]

Nej du missförstår mig nog inte. Jag är själv lite kluven där, men det är nog så att en centralicerad miljö är känligare och riskerna är större att hela miljön kan drabbas på ett sätt som aldrig kan ske om miljön är ocentraliserad.

Om miljön är ocentralicerad innebär det inte med automatik att klienterna är opatchade, varför skulle man inte köra update, det sker ju automatiskt? Men man har ju inte tillgång till samtliga klienter och bara det är säkerhetshöjande och gör att angerepp blir begänsade och aldrig kan slå ut en hel kommun samtidigt som skett här.

Detta är ju bara en gång av många något sådant här händer, så det går ju inte att förklara bort varje gång

[Lennart]

Kent Ejdersand på 12 April 2012 - 18:28 sade:

http://svt.se/2.3378...l_ha_losensumma

ja en illvillig admin är ju en mardröm i en stor miljö...

[Kent Ejdersand]

Undrar om det är en riktad attack mot Eslöv.., fler skulle vara drabbade nämndes i någon artikel men inte vilka, intressant att följa fortsättningen.

Det positiva med denna typ av uppmärksamhet och även Tieto katastrofen tidigare i år är att fler förhoppningsvis ser över sin egen miljö.

[Jesper Johag]

Ransomware är nog ganska svårt att skydda sig mot då det räcker med att virusskyddet inte fungerar i en enda dator i hela organisationen för att bli drabbad i stor skala. Från denna maskin får ju programvaran användarens rättigheter mot utdelade filresurser och ingen filserver i världen, gissar jag, blir misstänksam om en användare skriver i väldigt många filer under väldigt kort tid.

Frågan är ju dock hur programvaran har hamnat i datorn, den borde inte kunna komma in via epost eller webb då smtpgateways och proxy/brandvägg borde filtrera sådant. USB-minne?

[Kent Ejdersand]

Jag skrev "riktad attack" i mitt tidigare inlägg, det var kanske lite otydligt, det jag tänkte på om någon kanske har kompilerat ett eget virus (vilket vem som helst troligen klarar av med de verktyg som finns till hjälp?), och skickat det till alla/många hos Eslövs kommun med förhoppningen att någon kommer att dra igång det.

Är inte vilket AV-program som helst ganska verkningslöst (i princip) vid den typen av attacker?

[Lennart]

http://blog.perhellq...ver-losensumma/

[andost]

Jag råkar bo i Eslöv men förnekar naturligtvis ytterligare kopplingar till historien.

Kommunen fick alltså krav på 60€ per fil (eller allt som allt?) och det gäller ca 30 000 filer om jag har förstått det hela rätt.

Ja - vad hade man gjort om man fått in någonting liknande i sitt system? Inte lätt att svara på utan att ha alla fakta.
Rensat bort viruset och återställt alla smittade filer från backup?

http://www.skanskan....aver-losensumma

[Michel Eldabh]

Jesper Johag på 12 April 2012 - 12:01 sade:

Man skulle ju hemskt gärna vilja ta del av en rapport efteråt som beskriver vad som hänt.

I en offentlig förvaltning så har du rätt begära ut och därmed ta del av rapporten. (I nästan alla fall)
Dock kan denna rapport visa på svagheter vilket då kan göra att den ej blir offentlig.

[GiZmO]

Lennart på 12 April 2012 - 15:00 sade:

Jag vill inte strö salt på såren osv, och är också intresserad av "rapporten", men mina funderingar tangerar ändå runt att centrala lösningar som att AD-anslutna datorer, filservrar osv. Ju större system ju större fall... Den aspekten kommer sällan fram...

Det känns lite som att tanken ovan är att så länge man inte ser problemet så är det inget problem, eller?

Varför skulle en omanagerad (decentraliserad) dator per definition vara mer säker än en managerad dator (centraliserad)?

Bara för att det funkar för strutsar så är det inte alltid en bra lösning att stoppa huvudet i sanden.

Själv föredrar jag att veta om när skiten träffar fläkten, om inte annat för att man får en chans att springa och gömma sig...

- Förtroende är bra. Kontroll är bättre.

[Lennart]

GiZmO på 22 May 2012 - 13:45 sade:

...
Varför skulle en omanagerad (decentraliserad) dator per definition vara mer säker än en managerad dator (centraliserad)?
...

Har jag inte påstått... Det jag säger är att ett problem inte drabbar samtliga om miljön är omanagerad. Det är en nyansskillnad!

Det finns många exempel där hela miljöer slagits ut, även sådana som skötts proffesionellt. Ta t ex länsstyrelsen där sjukhusdatorerna, tandläkare etc inte fungerade som de skulle under flera veckors tid för några år sedan, pga något virus som spreds via servern. Det finns många liknande exempel, men jag tror inte någon vill/kan göra en rättvis jämförelse, men att centralisering i sig är ett säkerhetsproblem är helt odiskutabelt enligt mig. Problemt med jämförelsen är att den omanagerade miljön är svårare att överblicka och därmed svår att jämföra.