Petya/NotPetya tra vaccini e analisi

Re: Che spasso!
- Scritto da: mucca sXXXXX
Quindi se qualcuno un po' di tempo fa avesse
tentato di fare un ransomware basato non su una
vulnerabilità di SMB, ma su quella di Copy on
Write, all'epoca non nota, hai la certezza che
non sarebbe assolutamente successa lo stesso su
sistemi Linux.Io guardo i fatti: i server sono per la maggior parte Unix/Linux. Se nei 9 anni in cui la vulnerabilità Copy on Write non era patchata non ci sono state infezioni, ci sono poche possibilità:1) Grazie alla natura open di Linux, non appena è stata scoperta la vulnerabilità è stata patchata, non dando modo di creare dei virus.2) Creare virus per Linux non è tanto facile.3) Chi usa Linux è fortunato, chi usa Windows è più sfigato di Fantozzi.Sempre stando ai fatti, Windows è da sempre bersaglio di virus...

Re: Che spasso!
- Scritto da: mela marcia

1) Grazie alla natura open di Linux, non appena è
stata scoperta la vulnerabilità è stata patchata,
non dando modo di creare dei
virus.XXXXXXX colossale: la patch tu la puoi fare anche 1 minuto dopo la scoperta della vulnerabilità, peccato che se poi la gente non la installa... Ti rammento che la patch per questa vulnerabilità è stata rilasciata a Marzo...
Sempre stando ai fatti, Windows è da sempre
bersaglio di
virus...Essendo il più diffuso desktop è anche ovvio... Allora dimmi perché, genio, il più martellato nel mobile è Android? Che causalmente è il più diffuso....

Re: Che spasso!
- Scritto da: mela marcia
Principalmente perché la gente si installa gli
APK dei giochini crakkati con malware integrato.
Tu pensa che iOS si becca gli stessi malware
nonostante la chiusura di Apple. Android non è
così male dopo
tutto...Appunto, e posto che:1) si installano roba di dubbia provenienza2) usano sempre utenti amministratoriChe colpa ne ha in questo caso il S.O.?La stessa identica cosa accadrebbe anche nelle distro Linux, se gli utenti si comportassero esattamente nello stesso modo, ed usando sempre root. Semmai l'errore del S.O. è il fatto che (per semplicità) ti "suggerisce" di default di usare uno user administrator, anziché istruire in qualche modo ad usare uno user normale e l'administrator (o equivalente) solo quando servono i diritti amministrativi, e magari senza fare un login interattivo ma usando il RunAs...

Re: Che spasso!
- Scritto da: Ftype

Con Linux l'utente è responsabilizzato, per le
procedure che riguardano il sistema devi agire
loggandoti con l'utente
root.Responsabilizzato non è garanzia di sicurezza e prevenzione dell'errore umano. In ogni caso anche in Windows un utente lo puoi responsabilizzare, facendo anche in modo che non possa fare alcune cose amministrative.
Su windows è più facile per 2 motivi :

- Si è abituato l'utente a non sapere cosa sta
facendo, deresponsabilizzadolo,per questioni di
marketing si è semplificato tutto con "ci pensa
lui" ,l'utente non deve sapere
nulla.
E non parliamo di tutti quei casi dove una pagina
web che recita " sono stati riscontrati XX virus
sul tuo sistema, clicca qui per rimediare" e la
gente ancora ci
casca.Ma anche in questo caso l'utente lo puoi responsabilizzare.

- Basta un semplice clic ed esegui un programma
come administrator, Palle, se l'utente non è un amministratore locale col piffero che succede quello che dici; ti appare un bel popup che ti chiede le credenziali di uno user amministratore.
inoltre alcuni di essi non
funzionano o funzionano male con account limitati
,questo alla lunga porta l'utente ad eseguire
sempre con privilegi superiori prendendo una
brutta abitudine che non farà altro che aumentare
la possibilità di prendersi qualcosa in
futuro.Ma se non li ha, vedi sopra, non esegue proprio niente come amministratore.
Inoltre se su 9 casi su 10 ci sono falsi positivi
sarai indotto a pensare che sia la stessa cosa al
10 caso, invece così non sarà e ti
frega.Vedi sopra, se non sei amministratore non lo lanci manco morto come amministratore.Finiamola con ste leggende...

Re: Che spasso!
- Scritto da: Ftype
- Scritto da: Max


E quindi qui che colpa ne ha Windows? Ha la

stessa colpa di una fix rilasciata ma non

installata.

Beh il sistemista è pagato anche per questa
eventualità.Quale? Quella di non installare fix di livello severe? Direi proprio di no, anzi dovrebbe accertarsi che vengano installate.


E quindi? L'importante è che non faccia
danni.

Perché, se tu in Linux obblighi ad usare uno
user

senza diritti di root, non stai facendo la
stessa

cosa? Oppure tu lasci bellamente usare root
e
gli

spieghi che questo e quello non si

fanno?

E quindi sono 2 cose diverse, essere responsabile
significa stare attento a cosa faccio,anche
brasare tutto, ma capendo dove sto metetndo le
mani non faccio nulla del genere. Diverso è
invece non poterlo fare unicamente perchè non i
sufficienti permessi per poterlo fare, nel
secondo caso capisco solo che me lo hanno
impedito.

Linux da per scontato che l'utente che usi
abitualmente non sia root, persino nelle live il
primo acXXXXX non è root ma un utente con i
permessi
limitati.E quindi non sta limitando l'utente? No ma fammi capire, se lo fa automaticamente Linux va bene, se lo fa un sistemista non va bene?


Responsabilizzare non è LA soluzione, ma una

componente della soluzione. La soluzione è
un
mix

ben bilanciato di entrambe le cose, dove le

limitazioni intervengono se l'utente, anche

responsabilizzato,

sbaglia.

Responsabilizzare ti obbliga a sapere cosa stai
facendo,quindi impari, diversamente non impari
nulla perchè te lo hanno solo impedito di
farlo.Il sapere cosa stai facendo NON esula da errori. Allora perché han fatto tutta sta menata di ACL, livelli di utente ecc? Solo per perdere tempo? O perché un utente deve essere utente in quanto NON è responsabile del pc aziendale, ma lo è il sistemista?


O tu affidi tutto al buon cuore ed attenzione

degli utenti, confidando che non sbaglieranno

mai?

Io confido proprio che sbaglieranno alla prima
occasione o anche di
peggio.
Ora statisticamente un privato, con quale account
credi che acceda al suo computer
?Sicuramente come amministratore. Io nel mio piccolo i miei amici se posso li educo a lavorare/usare il pc come user e usare administrator solo se necessario e non di fisso. Risultato, per esempio, che uno di essi, che prendeva iun virus almeno una volta al mese, è almeno un anno che non prende nulla. Sarà un caso?


Ma fammi degli esempi di programmi a
diffusione

massiccia e che chiedono amministratore. Io
ti

dico che non è più così, non sono così

diffusi.

Tipo quei programmi interni alle aziende ? O
quelli vecchiotti
?A parte che quelli sviluppati in azienda si possono anche modificare e far si che non richiedano più admin, anche perché si presume non debbano cambiare impostazioni di sistema. E sai perché spesso chiedono l'admin? Perché salvano i dati nella Program Files invece che nella usersappdatalocal. Sai che complicato cambiare il path di default...E quanto ai programmi vecchi, la soluzione è aggiornarlo, perché rimanere esposti a ste cose per un vecchio programma è assurdo. Tanto più che, molto probabilmente, a breve non funzioneranno nemmeno più, a meno che uno si voglia tenere anche XP a vita....


Se proprio ne hai bisogno, puoi anche
impostare

solo dei programmi che vengano eseguiti come

amministratore, eh! non sei obbligato ad
usare
o

tutto come user o tutto come

amministratore.

Ma il problema può essere anche li, se il
programma usa parti di terze parti come
amministratore e una di queste è
compromessa...Motivo in più per usare diritti amministrativi il meno possibile, tanto più se non sai da dove arrivano taluni componenti e il produttore non te lo dice.


Questo è un altro discorso, e qui entrano in

gioco altre soluzioni che (oltre a tenere i

sistemi aggiornati per correggere le

vulnerabilità) non sono solo mettere gli
utenti

come user, ma stabilire cosa possono
eseguire
o

dove, e non "a cazzum" ovunque nel sistema,

specialmente nella

usersappdata*

Ma i malware Crypto abitualmente non hanno
bisogno di vulnerabilità, basta essere lanciati e
iniziano a
crittografare.Solo sei sei amministratore, altrimenti ciccia...vedi appunto Petya, che necessita di diritti amministrativi.E comunque, anche nel caso dovessero mai partire in modalità user (ma qui correi capire come poi ti possono chiedere un riscatto, o installarsi per apparire al boot) se blocchi l'esecuzione di programmi fuori dalle canoniche cartelle (Program Files, Program Files(x86) e %windir%) direi che stai a posto, perché se non sei amministratore col piffero che vai a scrivere file in quelle cartelle, e in quelle a cui lo user è autorizzato non parte, viene bloccato dal sistema.

Re: Che spasso!
- Scritto da: Max
XXXXXXX colossale: la patch tu la puoi fare anche
1 minuto dopo la scoperta della vulnerabilità,
peccato che se poi la gente non la installa... Ti
rammento che la patch per questa vulnerabilità è
stata rilasciata a
Marzo...Come fai su windows a non installarla ?Privatamente di default hai gli aggiornamenti automatici, quindi in teoria dovrebbe fare tutto da solo, dal punto di vista aziendale ci sono buone pratiche che dovrebbero farti desisitere dal collegare un server con il resto della rete.
Essendo il più diffuso desktop è anche ovvio...
Allora dimmi perché, genio, il più martellato nel
mobile è Android? Che causalmente è il più
diffuso....Ma più martellato de che ? Io ho android da una vita e non ho mai preso alcun malware, e non ho installato alcuna utility di sicurezza.La differenza è che su Android puoi installare app da terze parti e non devi per forza passare dal Play,ovviamente devi avere root, acconsentire all'installazione di app manualmente (e devi fare una procedura ben precisa per farlo, non lo puoi fare per caso) e scaricarti un file dalle acque torbide d'internet e sarai tu ad installarlo, non entra mica da solo.

Re: Che spasso!
- Scritto da: Max
Il comportamento che ti indichi è quello di
Windows 10 home, e solo quello; nella Pro li puoi
ritardare, e in azienda puoi disabilitare in
120.000 modi diversi gli update. E guarda caso
sono state trapanate un sacco di aziende. E
comunque la maggior parte pare non fossero
Windows 10 ma Windows 7, che ha esattamente lo
stesso metodo di update di XP, ovvero
disabilitabili, sia a casa che in
azienda.Di default sia Home che Pro hanno gli aggiornamenti automatici attivi, quindi in teoria dovrebbero essere al riparo. Poi li puoi anche ritardare per questioni di test in azienda ma mica mi vorrai dire che aspetterai 8 mesi per aggiornare i PC dell'azienda ? In tal caso rimarrai 8 mesi scoperto, anche se hai i dati più importanti al sicuro la postazione si va a farsi friggere,in particolare se ancora non è stata trovata una soluzione antimalware per risolvere il problema.Il problema di Windows update è che non è affidabile, mi sono capitate macchine Win 7, 8.1 e persino Win 10 dove quel sistema si era bloccato e ovviamente a cascata non permetteva neanche l'installazione dei successivi. Con Win 7 mi è capitato molte volte di verderlo,va alla ricerca di aggiornamenti e poi non temina più, la CPU schizza al 100% RAM occupata all'inverosimile e si impalla mezzo mondo, Ms ci ha messo mano almeno 4-5 volte.
E tu vorresti dirmi che Android tra i mobile non
è il più
attaccato?Attaccato di che visto che quando succede è perchè è stato l'utente ad averlo installato ?Non è che un giorno visto il sito web di PI e magicamente mi ritrovo infetto il device.
Va che un esempio non fa statistica. Perché
allora vale a statistica anche il fatto che qui
da me mai preso un Crypto? Mai preso un
Virus/Malware, uno, e i client sono tutti
Windows...Anche io mai preso un Crypto su windows, ma una persona di mia conoscenza in azienda invece si (proprio quello del falso antivirus),come anche qualche worm di rete.Se sai fare bene il tuo lavoro,adotti delle buone pratiche interne all'azienda,aggiorni OS e programmi (e qui non sempre è possibile) riduci parecchio il rischio, ma non sarà mai zero.Hai letto la notizia per esempio di Windows Defender ?
E perché in Windows, tutte le varie botnet che ci
sono in giro, secondo te si sono installati da
soli? Oppure è più probabile che il genio di
turno si sia scaricato un bel crack da qualche
sito e se lo sia installato come
amministratore?Fossi in te non ne sarei così sicuro al 100% , può succedere sia per mano del singolo utente sia ad opera della scansione dell'intera rete con qualche deficit di sicurezza e da li propagarsi.

Re: Che spasso!
- Scritto da: Max
Ma ok, e siamo d'accordo. Ma di questi attacchi,
come ben sai, almeno per Wannacry la maggior
parte erano Windows 7, che non hanno quel
comportamento, ma il classico che esisteva fino a
8.1.Che io sappia la vulnerabilità partiva da XP e Vista (infatti Ms eccezionalmente si è mossa in tal senso visto che in parte sono ancora usati) fino a Win 10, ovviamente parlo di quelli che per un motivo o un altro non avevano la patch installata e pazienza per i privati che neanche ci pensano alla questione sicurezza, mi fa un pò specie invece che in azienda un sistemista si sia fatto cogliere impreparato e che l'intera LAN veda i server come niente fosse.
E, a maggior ragione, visto che erano aziende, si
presuppone che ci sia una policy di update
stabilita con strumenti di dominio e come WSUS, e
non che ogni client va su internet a scaricare
gli update, se vuole e se vuole l'utente perché
essendo amministratore se li è disabilitati.Ma infatti in azienda è diverso,anche se dubito che una piccola azienda usi WSUS
Il problema è che spesso, chi amministra, li
disabilita per evitarsi possibili menate. E
queste poi sono le
conseguenze.Mah io nel caso peggiore più che disabilitati ho visto tutti i computer che si scaricavano gli update come se fossero PC di privati.
ma quello è ovvio, perché ci sarà sempre una
exploit che ti passa sotto al naso. Ma un conto
è, come in questi casi, avere le patch
disponibili e non installarle, e quindi
cercarsela. Un altro è aver fatto il massimo per
evitarlo, non tralasciando
nulla.Ma infatti in questo caso la responsabilità è del sistemsita, se anche si verifica che i client per qualche motivo non installano la patch il responsabile deve comunque andare a verificare il perchè.Siccome anche qualche grossa azienda è stata colpita evidentemente il sistemista ha trattato la cosa con molta superficialità, o addirittura si girava i pollici, perchè di solito le grosse aziende sono ben strutturate e hanno tecnici con tanto di certificazioni multiple.
Si letto, e patch già disponibile. Vediamo quanti
la installeranno prima che venga sfruttata. E in
ogni caso, è un problema non raro con gli AV; se
non erro cose simili accaddero in passato con
Symantec. Motivo in più per cercare di uscire dal
paradigma dell'AV, blindando il più possibile i
sistemi, eliminando una componente (l'AV) che è
pesante, a volte dannosa, e spesso inutile perché
trapanata senza problemi. Se gli AV fossero
efficaci non ci sarebbero più
virus.Si successe con Symantec ma non solo, su un privato con Win 8.1 riscontrai ben 800 malware e Defender era stato disabilitato da una delle tante creaturine anche se sinceramente non ci farei affidamento, in altri casi mi è capitato l'antivirus di terze parti disabilitato.
Si ma prendiamo WannaCry: entrava con due metodi,
allegato/phishing o via SMBv1 non patchato,
tramite il quale poi comunque si propagava.

Ora, in una azienda, i casi sono due: o non hai
protezione su email/siti, e peggio permetti
l'esecuzione di allegati eseguibili dal client, e
il lancio di eseguibili dalla userappdata, e da
li parte l'infezione iniziale, oppure qualche
genio ha pubblicato la 445 sul firewall, e
l'infezione iniziale è partita da quel server.Il primo caso può accadere con una certa facilità a meno di grosse aziende ben strutturate, nel secondo lo trovo molto meno probabile, anche non toccando la configurazione del firewall di default rimarrebbe chiusa, non si apre da sola per puro caso, ci devi mettere le mani. L'unica situazione che mi viene in mente e che l'addetto doveva aprire una porta per qualche servizio e abbia aperto quella sbagliata scordandosene di richiuderla,ma direi poco veritiera o rarissimi casi.Comunque ci sono anche aziende con l'acXXXXX remoto al router sulla porta 80 e in alcuni casi con la password di default del fornitore dell'ADSL, quindi non sempre ciò che si ritiene scontato lo è veramente.
Altro non c'è, l'infezione iniziale non arrivava
per
"osmosi".
In entrambi i casi, comunque la vedi, c'è una
grave mancanza di sicurezza da parte di chi la
dovrebbe gestire, la
sicurezza.
O no?Sul "la vedi" dipende dalla professionalità e direi anche dalla pignoleria del personale, considerando che anche grandi aziende hanno avuto problemi e dubito che prendano il primo sistemista senza una attenta valutazione.

Re: Che spasso!
- Scritto da: Max
E comunque, al netto di exploit,Facile così...
la stessa
identica premessa che hai fatto per Linux vale
pure per Windows. Certo che se i geni che stanno
nelle aziende, per non sbattersi, metto tutti gli
utenti admin locali...1) Su Linux la quasi totalità dei SW non richiede privilegi di root2) Linux di default fa creare degli utenti non-root3) Su Windows molti SW richiedono privilegi amministrativi4) Windows di default fa creare utenti admin

Re: Che spasso!
- Scritto da: mura
Oramai la maggior parte dei programmi windows non
richiede più privilegi amministrativi grazie a
campagne di sensibilizzazione ed informazione
fatte negli ultimi anni anche in ambito
MS.Ma che stai dicendo ?Se installi un programma che ti indicizza il disco per fare ricercche te lo chiede, idem per quei programmi per la pulizia del sistema ma anche in tanti altri casi.

Re: Che spasso!
- Scritto da: Max

3) Su Windows molti SW richiedono privilegi

amministrativi

Balla totale, prettamente i giochi; i software di
uso commerciale/aziendale raramente li chiedono.Balla totale ? O_OOh si che li chiedono invece. e per evitare problemi l'utente è abituato ad eseguire sempre con privilegi più alti.

4) Windows di default fa creare utenti admin
In locale si, ed è sbagliato secondo me; in
azienda no. Se poi i sistemisti per non sbattersi
li aggiungono ai local administrators, non è
colpa di Windows ma del
sistemista.Stai dando per scontato che ogni azienda abbia un sistemista...

Re: Che spasso!
- Scritto da: Max
Ma proprio no, e tanto è che sia qui da me che da
molti miei clienti che han già fatto questo tipo
di verifica gli utenti sono tutti user e non più
amministratori
locali.Io ne ho visti di programmi che senza administrator o davano errori con consenguente creash dello stesso o non funzionavano affatto.
Dovrebbe. E se non ce l'ha interno che paghi
qualcuno in gamba che glieli gestisca, con il
cazzaro che ripara pc nel negozietto
vicino.Ce la vedi l'azienda X che rompe le scatole ogni 3X2 al sistemista esterno per ogni scemenza ?
E se non ce l'ha, e non vuole averlo, allora
cavoli suoi, e che paghi il
riscatto.Infatti succede anche questo...

Re: Che spasso!
- Scritto da: Max
Fai una assistenza a ticket prepagati, dove anche
la telefonata è un ticket, e vedi che si
limitano...
;)Si ma in questi casi non lo faranno proprio per non spendere, se ricordi il disorso di sopra dove formazione/sicurezza = costo.