No jo, trochu bulvární nadpis. Co trochu. Je bulvární, ale co se tak koukám, čím drsnější nadpisy, tím větší čtenost.
V tomto článku ale nečekejte nic dramatického. De facto je to taková glossa k takovému menšímu klopýtnutí, které Garmin v posledních 4-5 dnech prodělal. Staré systémy jsou "down", nové se nahazují.
Předchozí články na Garmin témata jsou:
DVTV udělal celkem pěkný shot s odborníkem na bezpečnost, který shrnul tak nějak samozřejmá fakta, která si ale dost uživatelů neuvědomuje a já k tomu bez diakritiky dopsal takovou glosu, na co je dobré dále myslet a takovou menší prognózu, za jak dlouho bude Garmin opět starým známým Garminem.
Update - Garmin vydal oficiální stanovisko - shrnutí a překlad zde (zdroj):
Vyjídření Garmin.
Garmin se stal obětí kybernetického útoku, což vedlo k znefunkčnění platformy směrem k zákazníkům, aplikací, uživatelské podpory a komunikačních kanálů.
Podle Garminu nedošlo k ohrožení ani ukradení dat zákazníků a to včetně dat o platebním systému Garmin Pay (ten je spravován jinou entitou). Funkcionalita přístrojů Garmin prý zůstala nedotčena a k normálu co se systémů týká, se Garmin vrátí v následujících dnech.
Do doby plného zotavení Garmin očekává zpomalení ve zpracování fronty požadavků z různých zařízení a služeb.
FAQ:
Kdy bude funkční Connect.
Zprovoznění Connectu je na cestě a většina funkcí je zprovozněna. Jen některé operace trvají déle.
Došlo ke ztrátě dat?
Co bylo na serverech, je zde zachováno a data z mezidobí, která se ukládala v zařízeních Garmin, budou synchronizována do Connectu tak, jak jste zvyklí.
Jak je ovlivněna funkcionalita InReach a SOS messagingu?
Funkce InReach nebyla výpadkem postižena. A to včetně MapShare služby.
"Podělal" Garmin něco?
Nevím. Ale jsou zde indicie a zkušenosti z mého oboru, díky kterým bych si dovolil tvrdit, že nepodělal. Pokud se jedná opravdu o hackery, tak ti se dostanou vždy, kam chtějí, je to jen otázkou času a nalezení "nejslabšího článku" - ve většině případů je tento článek nepozorný zaměstnanec, co otevře přílohu e-mailu. :-)
Video z DVTV a následný můj koment (sorry, bez diakritiky)
V reakci na rozhovor - hned na zacatku se rika, ze velka cast infrastruktury byla napadena, ale otazkou je "jaka cast"? Backend? nebo uzivatelske stanice a mozna cast serveru?
Jde o to, ze onen skodlivy SW, pokud se budeme odvijet od teto hypotezy, se nedostane na server jako prvni, ale nekdo jej musi zamerne nebo chybou do vnitrni site zavest.
No a pak je otazkou, zda a jak Garmin toto detekuje. Pochybuji, ze tak velka firma jako Garmin s takovou datovou zakladnou nema mechanizmy, ktere dovoli paralyzovat celou sit. Je pak tedy naprosto bezne, ze se okamzite po zjisteni takto nebezpecneho incidentu vypinaji a segreguji vsechny segmenty systemu, aby se zamezilo dalsim skodam.
No a hlavni otazkou je opravdu - zda byly dotceny pocitace zamestnancu nebo servery (velmi zjednodusene rozdeleno). Je tam velky rozdil.
Ohledne prohlaseni k dotceni uzivatelsky dat - tam bych osobne veril, ze jsou data nedotcena. At jiz diky obnove dat nebo opravdu tomu, ze se nestihl skodlivy kod rozsirit na servery, ktere obhospodaruji data.
Dlouha prodleva obnovy odstavenych systemu je dana hlavne sanitaci a odstranenim skodliveho SW nez tim, ze by se obnovovaly systemy tak dlouho ze zalohy.
A ohledne zneuziti dat - Garmin je hracem na trhu jiz dlouho. Je to technologicky lidr a tezce pochybuji, ze kdyz dokaze nechavat konkurenci za sebou rok az dva ve vyvoji, nema poresenou technickou infrastrukturu tak, ze se ridi "secure by design" - cili principialne - utocnik by se musel zmocnit vsech dat, aby je mohl provazat s konkretnimi uzivateli.
Napadeni Garminu neni nic neobvykleho ve svete IT. Jak pan Haller rika, je to naprosto bezna praxe, je jen otazkou toho, kdy a jak se na to prijde. U produktu Garmin to bylo pomerne jednoduche zjistit, ze neco nefunguje. Hlavni je, ze v 99% pripadu se jedna o selhani lidskeho faktoru, diky kteremu se utocnik dostane tam, kam potrebuje. Cim vetsi firma, cim vice anonymni, tim vice cest. Strategie informacni bezpecnosti musi byt velmi dobre propracovana a hlavne povedomi o ochrane dat musi byt prioritou c.1 u drtive vetsiny firem.
Osobne bych spis polozil otazku - o co utocnikum opravdu slo? Penize? Data uzivatelu? Kdyz je uzivatele bezne sdili na "free platformach"? Nebo o data o technologiich a budoucich produktech, ktere maji DALEKO VETSI hodnotu (specialne pro konkurenci), nez onech proklamovanych $10m dolaru, ktere udajne chteji utocnici.
Existuje "zbran" proti tomuto incidentu? Neexistuje. Na kazdou zaplatu je vzdy nejaky nastroj. Hackeri aktivne hledaji cesty, jak se dostat k tomu, co chteji. Firmy delaji reaktivni opatreni. Jedina zbran je mit vlastni eticke hackery, kteri se budou snazit udelat to same, co Evil Corp s tim rozdilem, ze to reportuje na InfoSec oddeleni - v tomto pripade Garminu.
Co se bude dit dale, proc to tak trva?
1) obnova klicovych funkci - pro zakazniky - business continuity
2) sanitace prioritnich systemu a udrzeni systemu "zdravych" bez moznosti znovunakazeni
3) postupne obnovovani dalsich pridruzenych systemu, ktere nejsou "core byznys"
4) implementace preventivnich opatreni
5) skalovani obnovenych systemu, aby nedoslo k jejich pretizeni - preci jen po 4dennim vypadku jsou zde stamiliony aktivit a dat, ktera se musi nahrat do Garmin cloudu a na 100% mohu odhadnout, ze Garmin, ani nikdo jiny, nema testovane sve systemy na kapacitu pri takovemto globalnim vypadku. Musi tedy omezit propustnost pro synchronizaci.
Shrnuto:
1) Tento tyden bude odhadem 85%-90% zakazniku mit sve sluzby, na ktere jsou zvykli.
2) do 2-3 tydnu od vypadku bude 99% systemu funkcnich
3) predpokladam, ze se dozvime s 50% sanci co se opravdu stalo
4) pokud se jedna o utok s "vykupnym", na 99% se nedozvime, jak to Garmin vyresil (zaplatil nebo vyresil vse sam)
5) subjektivni tip - o data uzivatelu zde neslo
6) pokud byla ukradena strategicka data Garminu a prodana konkurenci, uvidime to nejpozdeji do 1 roku
7) bude se to opakovat? Ano, bude. Jen ne v takovem rozsahu, nemusime se o tom dozvedet a muze to byt kterakoliv firma.