Win11 - Obnovenie nastaveni

Pavel Kořenský pavel.korensky na dator3.cz
Pátek Únor 14 10:57:22 CET 2025


Sorry, ale Apple znám jen velmi povrchně. Pro MacOS je poměrně málo 
malware, ale nějaké existují. Je to dané tím, že i když je MacOS o dost 
bezpečnější systém než Windows, tak nějaké díry taky má čas od času je 
někdo objeví. Zrovna minulý týden jsem četl, že Apple spustil nějakou 
mimořádnou záplatu. A pro telefony (tedy iOS) byla nová verze 
záplatující nějaké díry uvedena před pár dny.
Ale situace je v Apple světě výrazně lepší, protože jejich desktopy 
nejsou tak rozšířené a ten jejich ekosystém si Apple poměrně hlídá. Ono 
psát kód který může běžet na úrovni oprávnění kernelu není jen tak a 
nemůže ho vyvíjet kdokoli. U Windows si stačí u Microsoftu zaplatit 
podepisovací certifikát a vymyslet nějaké trochu důvěryhodné krytí a 
můžeš si napsat device driver při jehož instalaci Windows nebudou 
protestovat. U Apple to takhle snadno nejde.

Zdraví PavelK

Dne 14.02.2025 v 10:23 Jindrich Fucik napsal(a):
> Koukám, že máš celkem přehled. Nevíš, jaký je stav u Applovského iOS, 
> nebo jak vlastně teď říkají systému pro počítače. Zejména jak je to na 
> různých procesorech, teď dávají ty svoje M2, M3 (pokud se nepletu, tak 
> to jsou ARMy), někdy používali x86 a tak dále.
>
> Dne 14.02.2025 v 10:07 Pavel Kořenský napsal(a):
>> Zdravím,
>>
>> pokud vím (nestíhám studovat do hloubky úplně všechny nejnovější 
>> informace) tak snapshoty na Synology jsou zatím bezpečné. Tím "zatím" 
>> myslím to, že nevím o žádném malware, který by někdo napsal cíleně 
>> pro Synology resp. její DSM 7.x operační systém. Nějaký pokus byl 
>> kdysi pro DSM 6.x, ale tu díru Synology zazáplatovala velmi rychle. 
>> To, že jsou snapshoty read-only zase tak moc neznamená. Pokud systém 
>> umí snapshot vytvořit a smazat, musí umět i zapsat. Jde jen o to 
>> najít díru, která povede ke spuštění kódu a následné eskalaci práv. U 
>> Synology to zatím nikomu nestálo za to aby to cíleně hledal a zkoušel.
>> Jiná situace je třeba u VMWare, kde existuje několik druhů malware, 
>> které právě po snapshotech jdou. A když VMWare jednu díru zalepí, 
>> útočníci hledají další a když jí najdou, je to nová "0-day" chyba a 
>> kolečko se opakuje. Důvod je ten, že VMWare používají velcí zákazníci 
>> u kterých lze očekávat, že případně zaplatí tučné výkupné.
>>
>> Je to bohužel neustálý boj, protože z ransomware se stal regulérní 
>> mafiánský bussiness ve kterém se krom obyčejných sprostých zločinců 
>> pohybují i státem vytvářené a placené skupiny. Zejména třeba pro KLDR 
>> je ransomware významným zdrojem devizových příjmů.
>>
>> Zdraví PavelK
>>
>> Dne 14.02.2025 v 8:50 Martin Hanek napsal(a):
>>> Jak se díváte na snaphoty na btrfs na Synology NAS? Moje, snad 
>>> správná, představa je ta, že kdyby někomu ve firmě napadl ramsonware 
>>> počítač a ten zašifroval sdílené disky, tak snapshoty zůstanou 
>>> nedotčené? Jsou read only?
>>>
>>> Martin Hanek
>>>
>>>
>>> Dne 13.02.2025 v 23:23 Pavel Kořenský napsal(a):
>>>> Zdravím,
>>>>
>>>> nevím o tom, že by se to někomu povedlo. Matně si pamatuju, že před 
>>>> pár lety tam byl nějaký problém s nedostatečným zabezpečením hesla 
>>>> či certifikátu, ale Synology to celkem rychle zazáplatovala.
>>>> Nicméně, jak vždy platí v oblasti IT Security, co je pravda dnes 
>>>> nemusí být pravda zítra. Ale taky to používám a jsem celkem v klidu.
>>>> Jak jsem už psal, při používání podobných prostředků nejspíš při 
>>>> plošném ransomware útoku k zašifrování či smazání záloh nedojde 
>>>> (není to jako připojit si síťový disk pomocí SMB a nalejvat na něj 
>>>> kopie souborů) a stačí udělat restore ze zálohy před útokem. 
>>>> Nejlépe hodně dost dnů před útokem, protože některé ransomware mají 
>>>> ošklivou vlastnost v tom smyslu, že se usadí v systému, počkají pár 
>>>> měsíců a pak se aktivují.
>>>> Pokud by útok způsobil, že dojde k zašifrování zálohy třeba na tom 
>>>> Active Backup, tak to není plošné, ale jde o cílený (a velmi drahý) 
>>>> útok na konkrétní infrastrukturu. A to je patrně věc nějaké státem 
>>>> placené APT a tudíž případ pro písmenkové agentury a o tom opravdu 
>>>> nemohu a nesmím mluvit. Ale v takovém případě to bude řešit někdo 
>>>> úplně jiný než lokální admin. Problém lokálního admina bude jen v 
>>>> tom, jestli nezanedbal nějaký bezpečnostní update. Pokud 
>>>> nezanedbal, tak je z obliga.
>>>>
>>>> Zdraví PavelK
>>>>
>>>> Dne 13.02.2025 v 22:50 Michal Grunt napsal(a):
>>>>> A co takove Synology a Active Backup for Business. Už to někdo 
>>>>> dokázal napadnout a vše zrušit? (pri předpokladu, že není zapnuté 
>>>>> SSH, nejsou nainstalovane žádné kontejnery, zbytečně balicky, 
>>>>> nikdo neexperimentoval s pravy na slozku ABB atd.)
>>>>>
>>> _______________________________________________
>>> HW-list mailing list  -  sponsored by www.HW.cz
>>> Hw-list na list.hw.cz
>>> http://list.hw.cz/mailman/listinfo/hw-list
>>
>>
>> _______________________________________________
>> HW-list mailing list  -  sponsored by www.HW.cz
>> Hw-list na list.hw.cz
>> http://list.hw.cz/mailman/listinfo/hw-list
> _______________________________________________
> HW-list mailing list  -  sponsored by www.HW.cz
> Hw-list na list.hw.cz
> http://list.hw.cz/mailman/listinfo/hw-list




Další informace o konferenci Hw-list