Link alla notizia: https://www.hwupgrade.it/news/sicurezza-software/garmin-servizi-offline-che-succede-c-e-dietro-un-pesante-attacco-ransomware_91003.html

Sito ufficiale, Garmin Connect e molti altri servizi di Garmin sono irraggiungibili da ore. L'azienda ha confermato l'esistenza di un problema che ha colpito anche il supporto clienti. Fonti non ufficiali e indizi portano a pensare che l'azienda sia stata vittima di un pesantissimo attacco ransomware. Potrebbero volerci giorni per ripristinare la situazione.

Click sul link per visualizzare la notizia.

"Evil Corp dovrebbe essere formata, in GRAN parte, da malintenzionati russi"
l'altra pare sono benintenzionati americani?

Più che altro mi lascia perplesso che si sia esteso ad ogni comparto dell'azienda, assistenza, servizi, persino alla produzione. Pensavo che IT di tali dimensioni avessero delle policy più robuste.

Il problema è che per molte aziende la sicurezza è percepita come un costo.....e la si trascura.
Fino a che succedono questi disastri......

i cryptolocker sfruttano l'elemento umano ed in questi casi puoi fare veramente poco se hai colleghi "poco smart".

Il problema è che per molte aziende la sicurezza è percepita come un costo.....e la si trascura.
Fino a che succedono questi disastri......

*

Dirigenti poco preparati che "tanto a noi non succederà mai", "ma se spendo 1/10 e prendo quel prodotto che dice di fare la stessa cosa" e l' apoteosi del "il nostro reparto tecnico non capisce niente, ho letto su facebook / mi da detto mio cuggino / dal calzolaio ho sentito che se facciamo così stiamo sicuri al 100% e spendiamo pure poco invece di buttare tutti quei soldi come dicono i sistemisti"

Molte aziende "importanti" sono state colpite da cryptolocker. Non tutte hanno imbecilli all'IT. E' sbagliato generalizzare

saranno stati i cinesi

Inoltre c'è da considerare come durante il lockdown, le aziende abbiamo consentito ai dipendenti operare con il loro computer da casa accedendo alle reti azeindali. Il mio computer di casa ha un virus, poi accedo alla rete aziendale tramite VPN, e porto il virus in azienda.
E' vero che ci sono procedure e SW per far si che questo non accada o sia mitigato, ma durante il lockdown (quarantena) i reparti IT non hanno avuto materialmente il tempo per implementare tutto cio.

"Evil Corp dovrebbe essere formata, in GRAN parte, da malintenzionati russi"
l'altra pare sono benintenzionati americani?
il complotto russo non passa mai di moda ;)

Il problema è che per molte aziende la sicurezza è percepita come un costo.....e la si trascura.
Fino a che succedono questi disastri......

Ma qui non stiamo parlando del piccolo studio di partite Iva. Se riescono a fare danni ad aziende grandi e strutturate che operano nel It pensa cosa possono rischiare le piccole imprese.

Ma qui non stiamo parlando del piccolo studio di partite Iva. Se riescono a fare danni ad aziende grandi e strutturate che operano nel It pensa cosa possono rischiare le piccole imprese.

Se qualcuno motivato e tecnicamente preparato si mette in testa di bucare un sistema lo fa: è stato ampiamente dimostrato, anche con società che si occupano di "spionaggio" tipo hacking team. Quindi non mi stupisce che siano riusciti a farlo, ma il fatto che evidentemente, nel sistema della Garmin, possa esistere un "super-amministratore" con il potere di radere al suolo ogni cosa di ogni divisione.

Se la VPN è configurata correttamente puoi comunque separare le due reti in modo da non portare i virus in azienda. Noi ad esempio non permettiamo neanche la navigazione ai (pochi) utenti in VPN; tutti gli utenti che hanno lavorato da casa durante il lockdown, hanno utilizzato citrix che facilita e di molto le connessioni remote

Inoltre c'è da considerare come durante il lockdown, le aziende abbiamo consentito ai dipendenti operare con il loro computer da casa accedendo alle reti azeindali. Il mio computer di casa ha un virus, poi accedo alla rete aziendale tramite VPN, e porto il virus in azienda.
E' vero che ci sono procedure e SW per far si che questo non accada o sia mitigato, ma durante il lockdown (quarantena) i reparti IT non hanno avuto materialmente il tempo per implementare tutto cio.

Se ha colpito così tanti reparti differenti vuol dire che questi non erano ben compartimentati....... Se entra in una sezione non deve poter accedere a tutta l'azienda. Da quanto dicono qui sembra che abbia colpito tutto. E' questo che mi fa pensare che non abbiano una minima preparazine per la sicurezza.

Se in una nave si apre una falla, chiudi le porte stagne e la nave, magari storta, con parti fuori uso, sta a galla, non affonda.

Qui la nave è colata proprio a picco!

Questo non è generalizzare, come qualcuno ha scritto. E' osservare. In un piccolo ufficio la rete è unica.
in una grande realtà devono esserci tante sottoreti isolate tra di loro. Non deve essere possibile una cosa del genere, che se entra un virus da una parte si diffonde ovunque. Se succede è per un errore grave della sicurezza

Se ha colpito così tanti reparti differenti vuol dire che questi non erano ben compartimentati

Partiamo dal punto principale, la società target. Stiamo parlando di Garmin, società che fattura 3 miliardi di dollari, che opera in diversi settori compreso quello dello aerospazio e difesa. Settori nel quale la sicurezza informatica non è un optional, ma un obbligo per operare ed essere fornitore di governi. Per cui stiamo parlando di grande società che conosce molto bene il mondo della cyber security. Questo mi porta a pensare che l'attacco sia di tipo mirato, e non di tipo generico. Hanno voluto attaccare Garmin, quindi possono aver usato diverse tecniche per aggirare le varie protezioni, social engineering su profili critici e falle zero day per violare i sistemi.

Tornando alla segregazioni delle rete, non è sempre possibile farlo. Ad esempio L'ERP deve poter parlare con il MES, e questo di fatto crea un punto di unione tra Gestionale e Produzione. Inoltre essendo una multinazionale, i vari siti produttivi nel mondo devono essere collegati tra di loro. E i vari reparti R&D devono potersi scambiare informazioni e progetti.
E' un problema molto complesso da affrontare, il solo riferirsi alla piccola azienda, porta fuori strada.

Partiamo dal punto principale, la società target. Stiamo parlando di Garmin, società che fattura 3 miliardi di dollari, che opera in diversi settori compreso quello dello aerospazio e difesa. Settori nel quale la sicurezza informatica non è un optional, ma un obbligo per operare ed essere fornitore di governi. Per cui stiamo parlando di grande società che conosce molto bene il mondo della cyber security. Questo mi porta a pensare che l'attacco sia di tipo mirato, e non di tipo generico. Hanno voluto attaccare Garmin, quindi possono aver usato diverse tecniche per aggirare le varie protezioni, social engineering su profili critici e falle zero day per violare i sistemi.

Tornando alla segregazioni delle rete, non è sempre possibile farlo. Ad esempio L'ERP deve poter parlare con il MES, e questo di fatto crea un punto di unione tra Gestionale e Produzione. Inoltre essendo una multinazionale, i vari siti produttivi nel mondo devono essere collegati tra di loro. E i vari reparti R&D devono potersi scambiare informazioni e progetti.
E' un problema molto complesso da affrontare, il solo riferirsi alla piccola azienda, porta fuori strada.


Lo so che non è una piccola azienda, ma in molti anni di lavoro (da informatico) ho visto come spesso lavorano anche le grandi aziende dove la sicurezza spesso è solo apparente dietro ad un sacco di certificazione che sono solo burocrazia inutile..... ma concretamente spesso ci sono notevoli falle che non vengono considerate.

E quello che è successo dimostra che non si sono cautelati. Può essere stata anche una cosa mirata, ma se avessero fatto le cose per bene questo non succedeva.

Inoltre c'è da considerare come durante il lockdown, le aziende abbiamo consentito ai dipendenti operare con il loro computer da casa accedendo alle reti azeindali. Il mio computer di casa ha un virus, poi accedo alla rete aziendale tramite VPN, e porto il virus in azienda.
E' vero che ci sono procedure e SW per far si che questo non accada o sia mitigato, ma durante il lockdown (quarantena) i reparti IT non hanno avuto materialmente il tempo per implementare tutto cio.
Anche da casa dovresti collegarti comunque col laptop aziendale, e non col tuo PC privato...

Anche da casa dovresti collegarti comunque col laptop aziendale, e non col tuo PC privato...

Certo, ma in questa fase non c'era materialmente il tempo e i dispositivi da assegnare ai dipendenti. In molti casi c'erano due alternative, ferie forzate o cassa integrazione. Per questo alcune aziende hanno fatto uno strappo alla regola, dando la possibilità di collegarsi da remoto con il propio PC.

<cut> ..... ma concretamente spesso ci sono notevoli falle che non vengono considerate. E quello che è successo dimostra che non si sono cautelati. <cut>

Che qualcosa non abbia funzionato è fuor di dubbio, che gli investimenti in cyber security devono aumentare è altrettanto vero.
Però un fatto incontrovertibile è che in un mondo produttivo che ormai vive di sistemi etereogenei interconessi anche livello planetario, creare un sistema informatico sicuro è più una chimera che una realtà. Certo, si possono mettere delle restrizioni, che però possono impattare sulla produttività. Ogni azienda deve trovare il suo punto di equilibrio minimizzando il rischio, con la consapevolezza che rischio zero non esiste. Tanto è vero che non esiste un sistema o un processo che ti garantisca l'invulnerabilità dei sistemi informatici.

Certo, ma in questa fase non c'era materialmente il tempo e i dispositivi da assegnare ai dipendenti. In molti casi c'erano due alternative, ferie forzate o cassa integrazione. Per questo alcune aziende hanno fatto uno strappo alla regola, dando la possibilità di collegarsi da remoto con il propio PC.
Capito. Immagino che i laptop da assegnare siano quelli per i dipendenti che hanno soltanto PC desktop.