'Aanvallen op Zuid-Korea afkomstig van eenzelfde bron'

Als het alleen om de MBR ging was het redelijk simpel te fixen. Partitietabellen nabouwen is een eitje met tools als testdisk en ieder OS kan z'n eigen bootloader opnieuw installeren. Dat gaat echt geen 5 dagen duren. Ik denk dat er dus nog wel meer gedelete was, maar ze willen er gewoon niet al te veel details over geven.
Of ze hebben er een beheerder zitten die net zoveel van computers weet als m'n digibete moeder, wat me, gezien hun verhaal over de IP adressen die ze daar gebruiken, niet geheel onwaarschijnlijk lijkt.

Ik denk dat ze bedoelen dat ze intern adressen(LAN) hebben gebruikt die ook extern(Internet) bestaan.

Hoe simpel zie jij dat dan?

Laten we uitgaan van dat alle 32.000 pc`s XP draaien.
Heb je dat al op je hdd staan op een aparte recoverypartitie, heb je dat op een recovery CD gezet, of heb je daar een bootable USB stick van gemaakt?

Veel bankcomputers zullen de eerste twee niet kunnen, geen recoverypartitie (onnodig ivm image plaatsen met compleet op maat ingericht geupdate systeem op een nieuwe pc of een "stomme"werknemer die per ongeluk even een nieuw incompleet ongeupdate XP installeert) en geen DVD/CD drive (ivm veiligheid)
Blijft een bootable stick over.....eerst USB drive als eerste boot zetten in het BIOS, daarna uitvoeren, daarna BIOS terugwijzigen, x 32.000 computers.

Dus stel je bent per computer totaal 10 minuten bezig met het MBR repareren (incl naar de volgende PC lopen) dan ben je (32000x10/60)/24 = 222 dagen bezig als je continu doorgaat.
Werk je maar 10 uur per dag dan ben je 533 dagen bezig.

Dan vergeten we gemakshalve verder even dat je elke pc daarna moet opstarten/checken en scannen op malware vóór je hem weer in het netwerk opneemt.

Blijft veiligheidshalve eigenlijk over de HDD formatteren zodat je alle troep zeker kwijt bent en een image terugzetten
Je wilt immers die malware die zich verspreid heeft niet terug ergens in je intranetwerk.
Dus dat maal 32.000 over X filialen.

Je kan je dus voorstellen hoe een grote kostenpost zoiets is, want ook een image terugzetten is simpel maar duurt wat langer dan 10 minuten.
Bijvoorbeeld, heb je 533 man er op gezet en duurt de procedure 30 minuten per pc incl in het netwerk opnemen, dan nog ben je 3 dagen verder voor je netwerk weer helemaal bruikbaar is bij 10 werkuren per dag per man.
Of als je drie ploegen van 666 man in 8 uurdiensten na elkaar inzet kun je het in één dag klaren, maar dat lijkt me gewoonweg logistiek niet reëel of haalbaar.

(disclaimer; natuurlijk kun je elke werknemer bv 15 sticks geven zodat hij simultaan images terug kan zetten zodat het sneller gaat, maar ook die 8000 stickjes maken kost tijd. En dan is het natuurlijk niet alleen een stickie erin en klaar...je moet het BIOS wijzigen, image terugzetten, BIOS terugzetten, opstarten/checken, configureren en in het netwerk opnemen
Het gaat er meer om dat het niet even snel het MBR repareren is zoals velen denken omdat ze dat thuis wel eens gedaan hebben.
Dit is een zakelijke financiële markt die gegarandeerd veilig moet zijn, geen thuis/hobby-computer.
Eerst zullen servers weer bruikbaar gemaakt worden en de systeemback-up daar op teruggeplaatst worden zodat elke pc die er weer bij komt toegang heeft tot de systeemdata.
Voordat alles weer loopt gaat dus gewoon minimaal een paar dagen overheen)

OT;
Mij lijkt trouwens dat als het via een IP adres binnen het netwerk verspreid is het een inside job is, een werknemer die even een besmet stickje van thuis ingeplugd had.
Foutje dat dat geaccepteerd werd maar ook moeilijker tegen te beveiligen dan van buitenaf, als je binnen bent met de juiste rechten dan helpt weinig beveiliging nog. Gevalletje PEBKAC.
De hoofdsysteembeheerder zal waarschijnlijk toch een ander baantje moeten zoeken denk ik.
Zulke foutjes mogen niet gebeuren.
Is het terug te herleiden naar een werknemer dan zal die wel voor de rest van zijn leven gratis voor de bank werken, als dit op hem/haar verhaalt wordt.

[Reactie gewijzigd door Teijgetje op 26 juli 2024 10:43]