Hakerski napad na INA-u: provjerili smo neke neslu

Tako to ispada kada se backup radi po "push" sistemu, svaki workstation ima pristup serveru na koji iskrca backup fajl umjesto da server radi po "pull" sistemu, pristupa svakom workstationu i pokupi backup fajl koji se kreira lokalno na svakom pojedinom workstationu. Ovako ransomware s jednog workstationa zaključa sve dostupno na serveru, dijeljenim diskovima i mapama pa taj jedan jedini nesretni PC uništi mrežu cijelog poduzeća.

Prvo, nemaju takav sustav jer je nešto kompliciranije složiti prikupljanje backup fajlova tj. takav proces je vremenski zahtjevniji jer je potrebno konfigurirati sve i na serveru i na worksationu zasebno. Lakše je na serveru dodijeliti pristup korisničkim mapama i na workstationu pri instalaciji backup softvera odrediti putanju snimanja backup fajlova u mapu na serveru.

Druga stvar je ograničenje softvera, nema svaki program za backup mogućnost da server automatski prikuplja kreirane backup fajlove s workstationa no to nije ništa toliko nedostižno da se ne bi moglo odvrtiti kao task za svakog pojedinog korisnika, jedino treba više vremena da se to složi.

Treća stvar je što je workstation usporen dvaput unutar radnog vremena, jednom dok kreira backup fajl i drugi puta kada taj fajl server kopira negdje na serverski disk.

 A ova žena se ponosno nalaktila i misli si - kako mi je dobro u životu, drugi mi benzin toče...

 Superstručnjaci, i to takvi da mogu rješit problem ili dekriptirat zaljučane datoteke samo sa ključem za otključavanje.

Push sustav je sasvim adekvatan ako sustav na kojeg se backup sprema podržava snapshot. Sve što je postojalo prije enkripcije postoji u starijem snapshotu, a mijenjanje veće količine fileova prilikom enkripcije uzrokuje naglo povećanje ukupnog zauzeća diska (trenutni podaci + starije revizije), pa se može isprogramirati trigger koji će na takav event poslati obavijest administratoru.

Istina ako je sustav backupa tako organiziran to tako i radi. Jedina je nepoznanica zašto onda INA ne može doći do snapshota koji je napravljen recimo dan prije zaraze osim ako nisu svi fajlovi na serveru zaključani neželjenom enkripcijom.

A zaključani mogu biti ako:

a) workstation ima pristup serveru i svim fajlovima unutar mape kojoj ima pristup, pri tome dozvola pristupa serverskim mapama/diskovima može biti loše definirana pa jedan workstation može zaraziti više toga na serveru i server dalje širi zarazu.

b) sharing je loše podešen na nivou cijele mreže i jedan workstation može zaraziti više workstationa pa svaki workstation koji pokupi zarazu osim lokalnih fajlova može zaključati svoje backup fajlove na serveru i sve fajlove na serveru u mapa kojima ima pristup, to može biti slučaj koliko god dobro server bio štićen.

Kako god okreneš, nešto nisu imali dobro definirano u cijelom sustavu jer se ne bi pisalo da su se vratili u INI u kameno doba što se tiče upotrebe računala. A za obavijest administratoru treba dobro definirati neki threshold jer u protivnom bi admin dobivao obavijesti kad god bi se snapshot počeo vrtiti na serveru, u pitanju je ipak brdo workstationa.

To je moja pretpostavka jer sam hrpu puta naletio da je backup definiran po navedenom sistemu, nabavlja se "jako dobar program za backup koji može napraviti full backup i incremental backup po želji administratora" jer se tako štedi prostor na disku i bandwith lokalne mreže.

Da su samo serveri u pitanju, reinstaliraš/zamijeniš servere sa backup serverima i voziš dalje, koliko god to bolan i dugotrajan postupak bio neće cijelo poduzeće stajati zato da netko po 15 puta konstatira da su svi fajlovi enkriptirani. Ako imaju snapshote, stvar s workstationima se riješi reinstalacijom OS-a, logiranja korisnika i povratom podataka iz snapshota koji nije zaražen. Jednako tako, ako nisu imali backup servere ili su im i oni zaraženi - onda mogu tamo samo sjest i plakat i sve definirati od početka kao da prije sretnog događaja nisu niti postojali. 

Ni Johny Sins nebi plin stavio u gnojfa dizlo

Aha, vjerujem da to isto i administratori u INI kažu. 

P.S. Samo se izjasni da li tvoje poduzetje radi s INOM, bar ću znati na koji mlin voda teče... 

Malo bi piškili pa malo kakili i to tako ispadne, sad budite još veći domoljubi i državotvorci pa prodajte HEP onda nam buju mogli i struju otcvikati ... imamo Rvacku