Win11 - Obnovenie nastaveni
Pavel Kořenský
pavel.korensky na dator3.cz
Pátek Únor 14 11:53:40 CET 2025
Zdravím,
to opravdu není v lidských možnostech. Kdyby to možné bylo, tak by to
například Microsoft asi měl a nemusel by vydávat každé druhé úterý v
měsíci pravidelný bezpečnostní update který záplatuje 50 - 150 chyb z
nichž pravidelně je tak pět až deset kritických a nejméně jedna bývá
"0-day".
U Linuxu je to jen o málo lepší a občas se stává, že na nějakou
kritickou chybu se přijde po mnoha letech. Což bývá maximální průšvih,
pokud je ta chyba v nějaké knihovně, která se často používá. Třeba Log4J
nebo SSL/SSH a podobně.
Ono je to částečně dané tím, že drtivá většina operačních systémů je
psaná v C/C++, které zrovna nevynikají bezpečností. Proto se v
posledních cca. 2 - 3 letech objevuje docela silný tlak na to přepsat
kernely třeba v jazyku Rust, kde je základní úroveň bezpečnosti součástí
samotné definice jazyka. Ale naráží to na problém, že toho kódu je
jednak moc (celá desetiletí práce) a za druhé některé věci jsou prostě
příliš pomalé, pokud nejsou psané v C/C++ nebo přímo v assembleru.
No a to už se dostáváme k tomu, zda je vůbec možné teoreticky zaručit
100% bezpečnost na von Neumannově architektuře která se v počítačích
používá. A na to neumí nikdo odpovědět a filosofické disputace z této
oblasti bývají celkem často námětem přednášek na mezinárodních konferencích.
Harvardská architektura (jako má třeba PIC nebo AVR) je o hodně
bezpečnější protože program a data jsou striktně oddělené, ale zase má
jiné nevýhody. Nevím přesně jaké, ale faktem je, že mimo mikrokontroléry
a specialisované DSP procesory se příliš neujala.
Zdraví PavelK
Dne 14.02.2025 v 11:24 Martin Záruba napsal(a):
>
> Vubec tomuto oboru nerozumím, tak se zeptám hloupě; Je ten systém tak
> složitý, že není možné jakoukoli simulací nebo nějak jinak zajistit,
> že tam opravdu ty díry nebudou?
>
> Martin Záruba
> Dne 14.2.2025 v 10:07 Pavel Kořenský napsal(a):
>> Zdravím,
>>
>> pokud vím (nestíhám studovat do hloubky úplně všechny nejnovější
>> informace) tak snapshoty na Synology jsou zatím bezpečné. Tím "zatím"
>> myslím to, že nevím o žádném malware, který by někdo napsal cíleně
>> pro Synology resp. její DSM 7.x operační systém. Nějaký pokus byl
>> kdysi pro DSM 6.x, ale tu díru Synology zazáplatovala velmi rychle.
>> To, že jsou snapshoty read-only zase tak moc neznamená. Pokud systém
>> umí snapshot vytvořit a smazat, musí umět i zapsat. Jde jen o to
>> najít díru, která povede ke spuštění kódu a následné eskalaci práv. U
>> Synology to zatím nikomu nestálo za to aby to cíleně hledal a zkoušel.
>> Jiná situace je třeba u VMWare, kde existuje několik druhů malware,
>> které právě po snapshotech jdou. A když VMWare jednu díru zalepí,
>> útočníci hledají další a když jí najdou, je to nová "0-day" chyba a
>> kolečko se opakuje. Důvod je ten, že VMWare používají velcí zákazníci
>> u kterých lze očekávat, že případně zaplatí tučné výkupné.
>>
>> Je to bohužel neustálý boj, protože z ransomware se stal regulérní
>> mafiánský bussiness ve kterém se krom obyčejných sprostých zločinců
>> pohybují i státem vytvářené a placené skupiny. Zejména třeba pro KLDR
>> je ransomware významným zdrojem devizových příjmů.
>>
>> Zdraví PavelK
>>
>> Dne 14.02.2025 v 8:50 Martin Hanek napsal(a):
>>> Jak se díváte na snaphoty na btrfs na Synology NAS? Moje, snad
>>> správná, představa je ta, že kdyby někomu ve firmě napadl ramsonware
>>> počítač a ten zašifroval sdílené disky, tak snapshoty zůstanou
>>> nedotčené? Jsou read only?
>>>
>>> Martin Hanek
>>>
>>>
>>> Dne 13.02.2025 v 23:23 Pavel Kořenský napsal(a):
>>>> Zdravím,
>>>>
>>>> nevím o tom, že by se to někomu povedlo. Matně si pamatuju, že před
>>>> pár lety tam byl nějaký problém s nedostatečným zabezpečením hesla
>>>> či certifikátu, ale Synology to celkem rychle zazáplatovala.
>>>> Nicméně, jak vždy platí v oblasti IT Security, co je pravda dnes
>>>> nemusí být pravda zítra. Ale taky to používám a jsem celkem v klidu.
>>>> Jak jsem už psal, při používání podobných prostředků nejspíš při
>>>> plošném ransomware útoku k zašifrování či smazání záloh nedojde
>>>> (není to jako připojit si síťový disk pomocí SMB a nalejvat na něj
>>>> kopie souborů) a stačí udělat restore ze zálohy před útokem.
>>>> Nejlépe hodně dost dnů před útokem, protože některé ransomware mají
>>>> ošklivou vlastnost v tom smyslu, že se usadí v systému, počkají pár
>>>> měsíců a pak se aktivují.
>>>> Pokud by útok způsobil, že dojde k zašifrování zálohy třeba na tom
>>>> Active Backup, tak to není plošné, ale jde o cílený (a velmi drahý)
>>>> útok na konkrétní infrastrukturu. A to je patrně věc nějaké státem
>>>> placené APT a tudíž případ pro písmenkové agentury a o tom opravdu
>>>> nemohu a nesmím mluvit. Ale v takovém případě to bude řešit někdo
>>>> úplně jiný než lokální admin. Problém lokálního admina bude jen v
>>>> tom, jestli nezanedbal nějaký bezpečnostní update. Pokud
>>>> nezanedbal, tak je z obliga.
>>>>
>>>> Zdraví PavelK
>>>>
>>>> Dne 13.02.2025 v 22:50 Michal Grunt napsal(a):
>>>>> A co takove Synology a Active Backup for Business. Už to někdo
>>>>> dokázal napadnout a vše zrušit? (pri předpokladu, že není zapnuté
>>>>> SSH, nejsou nainstalovane žádné kontejnery, zbytečně balicky,
>>>>> nikdo neexperimentoval s pravy na slozku ABB atd.)
>>>>>
>>> _______________________________________________
>>> HW-list mailing list - sponsored by www.HW.cz
>>> Hw-list na list.hw.cz
>>> http://list.hw.cz/mailman/listinfo/hw-list
>>
>>
>> _______________________________________________
>> HW-list mailing list - sponsored by www.HW.cz
>> Hw-list na list.hw.cz
>> http://list.hw.cz/mailman/listinfo/hw-list
>
> _______________________________________________
> HW-list mailing list - sponsored bywww.HW.cz
> Hw-list na list.hw.cz
> http://list.hw.cz/mailman/listinfo/hw-list
------------- další část ---------------
HTML příloha byla odstraněna...
URL: <http://list.hw.cz/pipermail/hw-list/attachments/20250214/a722f0fa/attachment.htm>
Další informace o konferenci Hw-list