zaključani podaci i plaćanje otkupnine

[rudar]

Na jednom hrvatskom portalu vidio sam ovih dana vijest o tvrtki iz Osijeka koja je ucijenjena zaključavanjem važnih podataka. Navodno su pristali platiti hakeru pola Bit-coina, u vrijednosti od približno jedanaest i po tisuća Eura (klasični ransom-ware). Podatke ipak nisu uspjeli spasiti. Policijska istraga je u tijeku. Ako je potrebno, mogu priložiti poveznicu na članak.

Ništa od ovoga nisam provjerio, prenosim kako sam pročitao. Tekst nije privukao preveliku pozornost i komentatori su se većinom ograničili na primjedbe o lakomislenosti djelatnika koji nisu redovito pravili zaštitne kopije podataka (back-up na drugom računalu), ili na izrugivanje zbog posljedica buljenja u porno-filmove preko službene adrese i preuzimanja neprimjerenih sadržaja. Tek poneko je upozorio na crva koji se oteo nadzoru i kojega više ni sam haker nije mogao svladati i vratiti tvrtki blokirane podatke. Pritom je zaključeno da ovakva ucjena ruši legitimitet samog hakera, jer zašto bi im u sličnim slučajevima plaćali kasnije otkupnine ukoliko ne mogu vratiti nedostupne podatke.

Ne pada mi na pamet biti zlurad i veseliti se tuđoj nevolji, ali s obzirom na sadržaj cijele priče (čak i ako uopće nije vezana uz GNU/Linux, kako pretpostavljam) zanima me mišljenje stručnjaka s foruma kako se zaštititi od ovakve ucjene (osim razboritim surfanjem i nepreuzimanjem sumnjivih sadržaja).

Hvala!

[bertone]

Jedina zaštita je imati barem tri kopije podataka, dvije se ažuriraju naizmjenično svaki drugi dan ili maksimalno svaki drugi tjedan i treća koja se backupira iz sigurne radne kopije nakon 24 ili 36 sati.

Je, znam da sam paranoik, ali kad mi je u firmi prije par godina u sistem ušao WanaCry, ja sam ostao bez zadnjih 12 sati podataka, ostatak kolega je ostao bez svega, a jedini koji su dobro prošli su bili oni na bolovanju ili koji nisu radili pa su im kompovi bili ugašeni u trenutku kad je šuga ušla u intranet.

[domy_os]

Za bilo kakav ransomware je dosta jedna, ali prava kopija podataka. Instalirati neki server/NAS sa BTRFS-om ili sličnim file sustavom koji podržava snapshote i namjestiti da ih radi svakih sat vremena. Staviti samo jednog admina koji ima pristup backupu, ali ne preko SMB-a. Klijentima koji pristupaju preko SMB-a maksimalno ograničiti prava. Kad se nešto dogodi, u par klikova se sve vrati kao da ništa nije bilo. Može se raditi i full backup klijenata u vidu imagea s deduplikacijom, to je onda još manje posla kod vraćanja sustava u prethodno stanje. Nakon toga onda ići na duple i offline kopije podataka.

[rudar]

Ima li operativni sustav neku ulogu u cijeloj priči?

[kvaju]

I mene ovo zanima, dali OS ima ulogu u ovome, da su koristili GNU/Linux dali su isto izloženi?

[bertone]

Onaj WannaCry ransomware koji je 12. svibnja 2017. godine poharao svijet, koliko se sjećam je udario isključivo na računala na kojima su bili Windowsi (sjećam se točnog datuma jer sam radio, bio je petak i kontaktirao sam oko 12,30 i ponovno oko 16.30 svoje informatičare u firmi da ugase vezu prema internetu i intranetu, no rekli su mi da napišem mail što sam vidio i što ne valja pa da će pogledati u ponedjeljak u čemu je problem,... oko 18,30 nam je ransomware ušao u intranet i sva računala koja su bila uključena u tom trenutku su ubrzo inficirana ).

[domy_os]

Onaj WannaCry ransomware koji je 12. svibnja 2017. godine poharao svijet, koliko se sjećam je udario isključivo na računala na kojima su bili Windowsi (sjećam se točnog datuma jer sam radio, bio je petak i kontaktirao sam oko 12,30 i ponovno oko 16.30 svoje informatičare u firmi da ugase vezu prema internetu i intranetu, no rekli su mi da napišem mail što sam vidio i što ne valja pa da će pogledati u ponedjeljak u čemu je problem,... oko 18,30 nam je ransomware ušao u intranet i sva računala koja su bila uključena u tom trenutku su ubrzo inficirana ).

Jesu li dobili otkaz? Da mi je bilo vidjeti njihovu facu kad se to dogodilo... Ali da, Windowsi + aktivan SMB v1 su glavni krivci za havariju.

[bertone]

Naravno da nisu jer sam ih na pošalji e-mail poslao u triPM , a da sam išao tjerati mak na konac oni bi negirali poziv kao što su jednom ranije negirali da sam ih zvao i upozorio na backdoor ulaz na web mail server kojeg sam slučajno našao (aj, njega su barem pokrpali nakon poziva).

Kakve su im bile face nisam vidio jer sam u 19,00 otišao doma, ali sam se čuo sa njima kasnije pa su se pohvalili da su su umjesto free vikenda od petka navečer do ponedjeljka ujutro bili na poslu i popravljali nepopravljivo da bi na kraju odlučili da na sva zaražena računala ide clean install jer je to manje posla,... uglavnom umjesto da su nas isključili sa interneta/intreneta na par sati ili možda jedan dan što bi relativno lako preživjeli, oni su imali posla par mjeseci, a mi problema s korištenjem baza danima.

Već sam razmišljao početi pisati dnevnik sa dogodovštinama koje sam imao sa "mojim" informatičarima, ali nisu oni krivi, kriv je sistem u kojem rade i onaj koji ih je zaposlio

[iweb]

Već sam razmišljao početi pisati dnevnik sa dogodovštinama koje sam imao sa "mojim" informatičarima, ali nisu oni krivi, kriv je sistem u kojem rade i onaj koji ih je zaposlio

Potičem te.

[bertone]

Ma ne želim, danas sam opet imao razgovor sa jednim od nedodirljivih i opet mi je rekao da mu pošaljem screenshot jer ne razumije o kakvom problemu pričam,... nije mi bilo teško pa sam mu napravio slikovnicu i nakon pola sata sam dobio odgovor u stilu:

- "Aahaa, pa da, dio aplikacije za pretragu baze podataka ne prikazije dobro rezultate pretrage ali to nije greška u aplikaciji nego je to zato što je onaj koji je napravio tražilicu baze podataka nije računao da dan traje od 00.00 do 23,59 sati nego da dan traje od 00,00 do 00,00 sati"...

... i što da sad mislim