None
Pojav napadov s pomočjo kriptografije (v nadaljevanju Cryptolocker) je v zadnjih časih že stalnica, kako pa pred tovrstnimi napadi poskrbimo za zaščito datotek?

V tokratnem članku se bomo posvetili varnosti datotek varnostnih kopij (ang. Backups). Morda smo prepričani, da te datoteke niso občutljive na kriptacijo, in da se kriptirajo le znani tipi datotek kot so na primer Office programi (Excel, Word,..), vendar temu več ni tako. Za zaščito pred zlonamernimi napadi je potrebno poskrbeti v celoti. 

Res je, da nam v osnovi antivirusne in e-poštne zaščite precej dobro ščitijo sistem, pa vendarle se dogaja, da so napadalci največkrat korak pred definicijo, ki jo prejmemo z rednimi posodobitvami le-teh. 

Predstavljamo vam nekaj primerov kako zaščititi varnostne kopije, če pride do napada z izvedbo kriptiranja datotek in ne ostanemo praznih rok. Zaradi največje razširjenosti Cryptolockerjev na operacijskem sistemu Microsoft Windows smo se osredotočili predvsem na to okolje. 

GoogleDrive, OneDrive, Dropbox, oblačne storitve ("off-site")

Oblačne storitve delujejo na podlagi sinhronizacije v oblak. Če se zgodi enkripcija podatkov, se tudi ti sinhronizirajo z oddaljeno lokacijo. Da se zaščitimo pred enkripcijo, je potrebno preveriti ali ponudnik storitev omogoča verzioniranje (obnovitvene točke). Na primer Dropbox in GoogleDrive imata v svoji politiki določeno 30 dnevno hranjenje sprememb. V plačljivi ediciji pa še dlje. Ker pa je prostor na teh oblačnih storitvah omejen, nam po navadi varnostne kopije ostajajo na diskovni hrambi na t.i. primarni lokaciji, zato je to morda primerno le za omejeno velikost datotek, saj je težko veliko sprememb sinhronizirati v nekem normalnem realnem času. Primerna zaščita je tudi ta, da se nam izdeluje replikacija sistema na oddaljeno "off-site" lokacijo, za kar pa je seveda potreben večji denarni vložek v samo infrastrukturo rešitev.

Podatkovna skladišča, NAS, USB,…

Cryptolockerji se obnašajo kot virusi definicije Trojanec, in ker se prožijo kot uporabniško aktivirana koda, je potrebno poskrbeti za nivo avtentifikacije uporabnikov do diskovnega skladišča. Če uporabnik nima pravice pisanja, torej le način branja, je situacija povsem jasna in varna. Kadar pa ima uporabnik, kateri je bil žrtev napada, dovoljenja za pisanje in spreminjanje, pa je tveganje največje. Da se izognemo težavam, je potrebno skrbeti za pravice pisanja in spreminjanja nad datotekami z uporabniškimi dostopi. Izogibati se je potrebno dovoljenjem kot so »everyone« ter avtentifikacije kot sistemski skrbnik.
.
  • Ločen uporabniški račun
    Uporabniški račun s katerim se izdelujejo varnostne kopije, naj ne bo domenski sistemski skrbnik, ampak ločen namenski uporabnik, ki izvaja operacije varnostnega kopiranja. Uporabnik in sistem naj bosta ločena sistema (pomeni, da strežnik, ki skrbi za varnostno kopiranje in podatkovno skladišče naj ne bo v isti domeni ali istem delovnem okrožju).
     
  • Krožni sistem podatkovnega skladišča (ang. Rotating backup storage)
    Kadar se uporablja podatkovno skladišče vezano na specifično določeno napravo (na primer USB trdi disk) je pametno razmisliti o nakupu dodatnega medija in tako potem »kolobariti« med posnetki.
    Vsak dan se na primer naredi zapis na drug medij, ki se ob končanem zapisu varnostne kopije zaklene. Torej, prvi dan se naredi zapis na USB disk 1, drugi dan na USB disk 2, tretji dan spet na USB disk 1 oziroma v odvisnosti od količine namenjenih medijev.
     
  • Varnostne kopije brez povezave
    Ob zaključku varnostne kopije se naj podatkovno skladišče postavi v stanje brez povezave (»offline«). Na primer iSCSi cilj se lahko s pomočjo skripte ali ročno ob končanju procesa varnostnega kopiranja odklopi. Prav tako je to možno storiti z USB pogonom.
     
  • (3-2-1) Backup strategija
    Da izpolnimo to strategijo potrebujemo vsaj tri varnostne kopije na dveh različnih medijih z eno dislocirano neodvisno kopijo na fizičnem mediju.
     
  • Forever Backups
    Izdelava varnostne kopije katere datoteke so vedno odprte v orodju za arhiviranje. To pomeni, da jo ima v lasti le program, ki upravlja z varnostnimi kopijami in te datoteke ni možno odpreti izven programa.

Sistem Microsoft File Screening (FSRM)

Orodje File Server Resource Managerja je namenjeno skrbi za nadzor pisanja po diskih, kjer se hranijo varnostne kopije. FSRM lahko vklopite na strežniški platformi vse od Microsoft Windows 2008 R2 naprej. Takšna zaščita onemogoči zapisovanje različnega tipa datotek, torej uporabimo t.i. listo dovoljenih tipov datotek: npr. le .bin, .bak. itd.

Antivirusna zaščita

  • Antivirusna zaščita blokovnega sistema pripon tipov datotek.
  • Antivirusna zaščita za preprečevanje cikličnega spreminjanje datotek.
Antivirus ob znakih enakega ponavljajočega se spreminjanja blokov zazna to kot napad in onemogoči pisanje po blokih diska. Slabost antivirusnih zaščit je, da jih cryptolokerji največkrat pred izvajanjem onemogočijo. Zato je potrebno poskrbeti za pravočasne nadgradnje in posodobitve revizij antivirusnega programa.

Porast kripto napadov

V večini primerov jih je nemogoče napovedati in se pred njimi tudi vedno obraniti. Prav tako je ob novi definiciji kriptacije težko obnoviti napadene (kriptirane) datoteke.

Kaj storiti, če se nam zgodi kripto napad?

1. Obvestimo policijo in SI-CERT.

2. Obnovimo sistem z obnovitvijo iz varnostnih kopij ter spremenimo domenska in sistemska gesla (v kolikor so varnostne kopije ostale nepoškodovane). Če imamo antivirus in e-poštno zaščito poskrbimo za nadgradnjo obeh definicij. V kolikor nimamo nobene zaščite pa je le vprašanje časa, kdaj bomo deležni napada in spreminjanja podatkov.

3. Če smo ostali brez podatkov in brez delujočih varnostnih kopij, nam včasih ne preostane drugo, kot da plačamo znesek, ki ga napadalec zahteva in v upanju po hitrem okrevanju sistema, poskrbimo za obnovo sistema ter varnost, da se kaj podobnega v bodoče več ne zgodi.

V današnjih časih je potrebno investirati v zaščito svojih poslovnih sistemov v največji možni meri, saj je ob izgubi podatkov lahko škoda za podjetje zelo velika. Pomembnosti vložka v varovanje sistema in izgube podatkov pa se žal pogosto zavemo prepozno ali kadar je ta cena obnovitve že presegla razum.