Ransomware legyakta az adatokat. Fizetnél vagy nem?

Minap egy cégnél jártam, ahol minden adat oda. A helyi IT "sikeres" mentési "stratégiájának" hála nincs használható mentés. A zsarolók több milliót kérnek. A cég fizet. Ti fizetnétek?

A teljes sztori itt:

Választások

Hozzászólások

Szerkesztve: 2022. 11. 26., szo – 12:32

Úgy érted, hogy azoknak a cégtulajdonosoknak a helyében, akik leszarták az IT biztonságot és mentést a tulajdonukban levő vállalaton belül, arra lóvét nem adtak/ alultervezték a büdzsét, majd amikor titkosították az _ő_ adataikat, akkor én fizetnék-e? Mert gondolom, kb. itt ez volt a helyzet, nem? Hiszen ha van rendes mentés, akkor nem kell fizetni.

🤔 🤣

Minden bizonnyal ... 😆

trey @ gépház

Nem, nem az IT fizet, hanem a cég, akié az adatok.
Nem tudom mennyi pénzt költöttek az IT-re, külsős IT cég aki tekergeti a rendszert nekik, az biztos hogy az ott készült mentés, nem mentés. Kérdés mennyire kell tudnia a vezetésnek, hogy az IT jól készíti-e mentéseket, meg egyáltalán megfelelően működik-e. Ezért fizetik az IT-t, hogy minden rendesen működjön.

Szóval nem tudom mennyire adtak pénzt az IT-re, de azt tudom, hogy ha legalább annyit nem tudok elérni egy helyen, hogy pl Linux alá is beessen egy mentés, ami nem érhető el Win alól, esetleg hozzá egy külső USB-s mentés, ahol van legalább 2 diszk, amit pár hetente cserélnek, ezáltal van offline mentés is (azaz max 2 hét bukta van, nem minden oda), szóval ha ezt a közel nulla pénzből megoldott mentést sem tudom megvalósítani, akkor nem dolgozom ott.
A meglévő szerveren lévő mentés olyan szinten kockázat, hogy nem vagyok hajlandó azt viselni és aki picit is ért hozzá az szintén nem vállalja el. Vagy aláírat egy papírt, hogy nincs mentés és semmilyen felelősséget nem vállal.

Kérdés mennyire kell tudnia a vezetésnek, hogy az IT jól készíti-e mentéseket, meg egyáltalán megfelelően működik-e. Ezért fizetik az IT-t, hogy minden rendesen működjön.

Normálisabb cégnél ezt a folyamatot tanúsítják: készül egy dokumentáció (ISO 900x alatt mondjuk egy Informatikai kézikönyv), amiben le van írva a folyamat. Azt az auditor az éves audit alatt auditálja, majd ellenjegyzi. Ha kell, hibalistára veszi a hiányosságokat. Az Informatikai kézikönyv felelős vezetői aláírója a cégvezető vagy annak megbízottja. Ha valahol nem így van, ott javaslom a folyamatot áttekinteni. A tanúsítási folyamat nyilván opcionális. Attól még, hogy a cég vezetője nem tud róla vagy nem érdeklődik felőle, a felelőse ő maga. És nyilván, a rávalót sem a beosztottainak kell előteremteni a megfelelő működésre, hanem neki.

Az IT-nek a dolga a vezető által ellenjegyzett kézikönyv szabályainak betartása, a hiányosságok jelzése, erőforrásigények jelzése stb.

trey @ gépház

Ez ilyen 20 fő körüli cégeknél nem jellemző, konkrétan még egyet sem láttam ilyet ahol lenne tanúsítás, audit, stb.

Ennél egyel nagyobb cégnek szoktam évi 1-2 alkalommal tanácsot adni, na ők kértek anno egy külső auditot egy cégtől, ott azt bírták nekik kihozni, hogy változtassanak 3 havonta jelszót, merthogy nem volt előírva a jelszóváltoztatás. Na meg tegyék rendbe a dokumentumokat. Slussz.

Ehhez képest mikor odamentem és felcsaptam a vendég wifire a laptopom elértem onnan az egész belső hálót. ...a többiről nem is beszélek, nem ez volt a legsúlyosabb. Írtam is a tennivalókat a helyi IT-nek, priorizálva. A csattanó, hogy az IT állítólag megcsinálta, de azt már nem kérték tőlem, hogy ellenőrizzem is le, hogy tényleg rendben van-e. Pedig aztán igazán nem vagyok drága.

az egyik kb 250 fos ugyfelunknel csinaltattak backup-rol auditot egy kulso ceggel. a ceg marha sok penzert gyartott egy par oldal szoveget, meg 1x odajott korulnezni. nem sikerult sem a mentoegyseg kapacitasat eltalalniuk (pedig ra van irva) a doksiban, es erre hivatkoztak hogy keves!!!, meg azt irtak, hogy a linuxokrol nincs semmilyen mentes, de azert a doksi vegen mellekletbe kinyomtattak a backup rendszer reportjat amiben ott szerepeltek. szoval az a draga audit is annyit er, mint aki csinalja...

Hajjdecsúnyán szoktak nézni, amikor hasonló dolgokat felvázolok, és nem értik, hogy 3 fős csapatnál alapvetően hasonló irányvonalak vannak, mint mondjuk 50-100 főnél. A konkrét bukta, vagy állásidő pedig nem biztos, hogy a cég méretétől függ. Vagy leakadnak, amikor pénzért van valamilyen épkézláb mentést végző szoftver. Ezek után kellemes mennyiségű fenékvédő email, papír gyártható, amiben Nszer jelezve lett (milliméter pontosan), hogy mi hiányzik, és miért nagyon fontos. Az üvöltözési szakasz jellemzően akkor a legnagyobb, mikor szembesülnek a saját marhaságukkal, illetve volt egy kósza elképzelésük, hogy ez hogy van, csak a valóság nincs úgy (amiről többször kaptak persze írásban jelzést).

Nem foglalkoznak vele, mert hiszen ez ilyen luxus dolog szerintük, hiszen eddig is minden ment. Jellemzően bután néznek, amikor hallják, hogy ezzel jóval többet kell foglalkozni, és csak abban a mentésben bízhatnak meg, ami nekik ott van náluk helyileg.  Egy néhány TB-os külső HDD-ig nem jutnak el, pedig az nem egy rakétatudomány. Végpontvédelmet se akarnak igazán, hiszen úgysem lehet gond. Amikor meg beüt valami, akkor roppant nagy szomorúság megy, meg valszin üvöltözés, és felelőskeresés. Sokkal fontosabb, hogy a prémiumautóval prémiumnyaraljon, arra mindenképp kell a zseton. (Tőlem vehet olyan autót, ez céges perszehogy, meg nyaralhat ahol akar, csak amikor mondjuk néhány 100k forintos, vagy jobb esetben milliós tételen húzza a száját, hogy ajjdesok, akkor ezek nekem erős ellentmondásban vannak.)

Nade nem pénze van, hanem konkrétan veszélyezteti a cége működését. A minden szarra nem szórja vs nagyon erős prémiumautó szintén ellentmondásban van nálam. Mondjuk úgy, hogy a fontossági sorrendet felállításánál még vannak erős kihívásai.

Soknullás éves forgalmakról beszélünk, ahol néhány Windows Server licensz, egy normális mentési megoldás, külsőleg vagy másik telephelyre, az nem egy extrém tétel. Egyszerűen sajnálják rá a zsetont, és amikor jön a matéria vs ventillátor szakasz, akkor roppantmód idegessé tudnak válni. E mellett minden felelősséget igyekeznek áttolni, hogy azt majd xy megoldja biztosan, de közben sehol sem vállal olyat, ami ő szeretne, hogy a másik vállaljon.

Igy van, foleg a nagyobbacska helyeken. A telephelyi managernek akkor veregetik meg elegedetten a vallat (es kap bonuszt) ha csokkenteni tudja a koltsegeket. Pl. lemondja a berelt vonalat a picsaba es vesz helyette lakossagi netet, mert az 10-ed annyiba kerul. Maris sporolt 1-2 misit/ev, johet a bonusz. Aztan ha elmegy a net es leall miatta a business, akkor sir hogy ez most orankent 10 millios veszteseg a cegnek. Hat jo...

Vagy ha bedoglik az egyik szerver, akkor megideologizalja hogy azt miert nem kell potolni... (megtortent esetek alapjan...)

Ez kemeny. :-)

Egy rokonom egyebkent csinalt olyat meg a DOS-os idokben, hogy a gep ha jol mukodott, akkor a soros portra jelet kuldott. Ott egy elektronika figyelt, es ha nem volt ido alatt jel, akkor resetelte a gepet.

Mivel a gep kint volt a halal f4szaban, olyan mesze, hogy meg ellopni sem mentek arra a nepek, jo volt, hogy nem kellett idonkent 4-5 orat autozni egy gombnyomas miatt.

Te se ertetted meg, akar csak a sztori-beli fonok :D

Azt irtam, hogy azert van penze, mert az alap allapota az, hogy nem szorjuk minden szarra (== arra koltunk, ami fontos).

Azt irtam, meg kell ertetni vele, mi a fontos, es hirtelen 1 csillagos ugyfelbol 5 csillagossa valik. Ennek modja elmagyarazni neki erthetoen minden sporolasanak a kovetkezmenyet, legegyszerubben a regi jo 'probability * impact' formulaval.

Amugy meg nem anyazik, o az ugyfel, o fizeti a szamlat. Csak fontos, hogy tisztaban legyen, hogy amikor sporol, az mivel jar, es mire szamithat (pl. hogy ratok nem :D ). A tobbi az o felelossege, o dontese.

Pl. velemenyem szerint backup szerver felesleges, hiszen kapasbol csak clustert futtatunk, min. 2 node-dal, ugye. Raid is felesleges, mert a vinyo kieseset node kiesesnek vesszuk, es sok node-unk van amugy is. Amugy meg haha, csak viccelek, tudom, mire gondoltok. :P

Hát te sem vetted, hogy értelem szerűen elmagyarazás, és felvezetés után sem volt fogadókészség, vagy a sokatmondó "átgondoljuk" fronton akadt el... Na mind1.

Hiaba fizeti a szamlat, azt nem fizeti, hogy labtorlonek nez barkit. Ezt a "dehatkifizettem" c. dolgot szintén helyre kéne tenni, mert tényleg volt amit fizetett, és volt ami meg akkor sincs benne az árban, ha szeretné.

Lazán kapcsolódik csak, de kíváncsi vagyok Mo-n meddig fog még élni ez a prémiumautó emlegetés. 🤣 Itt, a gazdagságnak mindig alap fokmérője az autó. Mindeközben azon járművek ~90%-ka, amiket ebben az országban prémium autónak hívnak, szinte bárkinek elérhetők. A bank csak annak nem ad hitelt, akinek nincs pulzusa. Na jó, most pár hónapja épp ez nem teljesen igaz, de az elmúlt évtized kamatkörnyezetében így volt.

Nekem is van egy 2021-es Volvo-s prémiumautós szomszédom, aki épp most nem tudott kifizetni a kertkapura 350k HUF-ot egybe, mert nincs neki rá. De a lényeg, hogy prémiumautója van. 😎

Persze ha prémium alatt a Lamborghini-s, Porsche-s, Ferrari-s stb. birtokló emberekre gondolunk, az más. Egyébként a nyaralás téma ugyanez csak pepitában.

It is our choices that define us.
Thinkpad X1 Extreme | Linux

Addig fogjuk emlegetni, amíg cerkaméregetés van belőle, hogy a főninek havi 250-500k-s lízingek csusszannak be autóra, és közben rágódik, hogy mondjuk félmilliót-egymilliót ki kell adni pl. mentésre, normális licenszre vagy ilyesmire (és nem havonta, hanem mondjuk 3-5 éves távlatban...). Szóval, ha nincs pénz normálisan üzemelő ájtira, vagy bármire, akkor esetleg egy Octavia szintű valamiben kéne gondolkodnia, esetleg... , de inkább az alatt... A nyaralás ugyanez, hogy ha elköhhint 2-3 milliót 1-2 hétre bárhol ahol neki tetszik, és közben az előző van, akkor maradjunk már a vendégháznál valami 2 csillag körüliben. Amint azt látom, hogy ami kell a rendes üzemeltetéshez arra a normális, valós igények alapján jön a zseton, akkor tőlem arra szórja a pénzt amire akarja.

Megtörtént eset, hogy egy 20-30k-s havidíjra, mint remote backup, és egy talán 300-400k körüli nagyon alap helyi NAS-ra aszondta nekem a 10 munkavállalós jóember, hogy "meg kell beszélni a befektetővel". Közöltem vele, hogy ha ez így van, akkor óriási működési problémáik vannak a cégben. Nem arattam osztatlan sikert, maradjunk annyiban...

Arról nem beszélve, hogy ha bemondanánk a németes óradíj mondjuk 75%-át, akkor pláne nehezen vennék ezek a csodatulajszupervezetők (szupravezetők, mert mindent pénz kivezetnek magukhoz) a levegőt. Nem mellesleg ugyanezek a jóemberek csodálkoznak, hogy mennyire drága amit ő szeretne, vagy hogy N hónap múlva lesz megoldva. Hiszen sehol egy ember, aki ráér, hiszen eddig sem voltak hajlandóak kifizetni a rendes pénzt, ezért szépen mindenki elment a boldog nyugatra, aki tehette. Szóval ez egy egyben kissé öngerjesztő.

A prémiumautó nálam tényleg a prémiumautó, bár sokan valóban a középkategóriásokra mondják, mert egyébként itthon nem könnyen elérhetőek. (amúgy: https://www.autoankauf.biz/premiumfahrzeuge/)

A Porsche, Lambo, Ferrari egyértelműen a luxus kategória, és nem a prémium.

Jaaaajjjj, ne is mondd az Octaviát! Azt látom mostanában, hogy az a sok turbóhülye manager, aki eddig Béjemvében rúgta fel az előtte haladót, az most mind átült Skodába. Nem tudom, hogy a pandémia miatti reszesszió okán, vag csak simán a nyugati konszerneknek lett elegük abból, ami itt megy cégautó címén, de úgy látom, hogy tele van a főváros ezekkel az önjelölt Fittipaldikkal. Úgy tűnik, megviselte őket, hogy kivettéka seggük alól a "prémium" autókat :-)

Azt LUXXXXXXXXXXXXUSSSSSSAUTÓ nyomatékkal szokta leadni az aljamédia, hogy ezzel is keltse a hangulatot a prolikban, akik erre szoktak harapni bármilyen bűncselekmény felolvasása során. Az nem érdekli h. megölték a kislányt, vagy megerőszakolták a nagymamát. Azon tud csak hörögni, hogy nademibű' tellett az elkövetőnek.... LUXXXXXXXXXXXXXXXXXXXXUSAUTÓ-ra?!?!?!?!

google: blikk+ luxusautó

Azért ebben nincs teljesen igazad, mert azért egy Lambo árát nem szokta bárkinek kölcsön adni a bank, tehát nem elérhetők ezek mindenkinek. Viszont az az észrevétel jogos, hogy ez a prémium autós téma sokszor túl van flexelve, média ezt emeli ki mindig, és nem a cselekménnyel foglalkoznak.

A computer is like air conditioning – it becomes useless when you open Windows.” (Linus Torvalds)

Igen, ezért írtam ezt:

Persze ha prémium alatt a Lamborghini-s, Porsche-s, Ferrari-s stb. birtokló emberekre gondolunk, az más.

Ez alatt azt értettem, hogy ez már teljesen más kategória.

Szerk.: És nem csak a médiával van baj, sőt... az emberek többsége általánosságban értékeli túl autókkal/nyaralással kapcsolatos dolgokat. Nem kell ehhez a média.

It is our choices that define us.
Thinkpad X1 Extreme | Linux

Falun a buta tanyasi tyúkok hugyoznak a németbű' behozatott lefingott 20+ éves 3as bömmerre vagy kályhacsöves kormoló a6-osra. De egy zsírúj fullextrás 2022-es középfelső kategóriás autóra csak annyit mondanak szép-szép. Utóbbi tippre 3-4x annyiba került, de hát  csak a bmw/ódi vs mindenmást ismeri fel a 2 agysejtjével.

Nem fizetnék. Nem spúrkodásból, hanem elvi okokból, így többes számban, mert több is van belőle. 1) Ha fizetnek a zsarolóknak, akkor azzal arra lesznek rászoktatva, hogy megéri ezzel a biznisszel az áldozatokat szopatni, mert a sok birkából könnyen húzhatók ki ezek a pénzek. Egyfajta megerősítés, és anyagi támogatás menne így bűnözőknek. Eleve azért népszerű ez az üzletág, mert a legtöbben könnyelműen fizetnek inkább.

2) Akkor sincs garancia, hogy az adatokat visszakapják, ha konkrétan fizetnek váltságdíjat. Ezek bűnözők, nem ér semmit az adott szavuk, elteszik a pénzt, lelépnek vele, nem küldenek kulcsot, vagy küldenek, de nem működőt. Bizonytalan, mint a kutya vacsorája, esetleges fizetéssel még súlyosbodnak is a károk.

3) Azokat a felelős alkalmazottakat és vezetőket sem kell rászoktatni, hogy ha baj van, fizetünk, rendkívüli anyagi áldozattal helyrehozza majd valaki a hibájukat, nyugodtan hibázzanak tovább. Nem, nem. Szokjanak csak szépen hozzá, hogy ha valami el van keffintve, az nem lesz helyrehozva, nem lesz mentőöv, visszavonhatatlan veszteség lesz, és ki lesznek rúgva, mindenki viseli a következményeit. Meg kell szokni, hogy ez tanulópénz, be kell nyelni a veszteséget, ha mindig el van mismásolva, fizetéssel helyrehozva, akkor senki nem fog ehhez a témához komolyan és felelősen hozzáállni.

4) Ha kicsit várnak az áldozatok, előbb-utóbb nyilvánosságra szoktak kerülni működő feloldókulcsok az adott ransomware-hez. Ehhez azonban néha idő és szerencse kell, illetve ütközik a 3-as pontban foglalt elvi okkal.

A computer is like air conditioning – it becomes useless when you open Windows.” (Linus Torvalds)

Szerkesztve: 2022. 11. 26., szo – 13:19

Kontextusfuggo

X: mennyibe kerul potolni a hianyzo adatokat? Ebbe beleszamolva a buntetesek koltseget, ha valamit koteles voltam tarolni amugy

Y: mennyi penzt nem keresek meg azon, hogy azokat az adatokat nem erem el?

A: mennyit kernek?

Ha A < X + Y, fizetnek. Egyeb esetben nem fizetnek.

hallottam olyan cegrol, ahol tobb 10 millios karuk keletkezett ebbol. ugy dontottek eleg gyorsan, hogy kifizetik a 4000$-t. nagyon gyorsan kifizettek, erre kertek meg 10k $-t... (gondolom lattak hogy nagyon fontos lehet ha szinte azonnal perkaltak, semmi alkudozas stb). ezutan mar elgondolkoztak mi legyen, az eredmenyt mar en sem ismerem, de fogadni mernek hogy kifizettek azt is...

nyilvan ez a tanulopenz, de ha a ceg mukodese, fennmaradasa mulik rajta, akkor ki fogjak fizetni...

persze az a jogos kerdes, hogy miert nincs backup? en azt tapasztaltam, minel tobb penzt tud bukni a ceg egy adatvesztesen (ne csak ransomra gondoljunk, eleg egy hw/disk hiba is) annal kevesbe akar a backupra penzt adni. a kis par fos alapitvanyok, kis kft-k fontosnak tartjak hogy legyen mindenrol mentes, meg a pancelba is elrakjak offline, a nagyok meg sz@rnak bele. a bakcup hianya az esetek tobbsegeben nem az IT hibaja, nem rajtuk mulik.

Pontosan ez a lényeg, hogy fizetés esetén sincs garancia a működő kititkosító kulcsra. Ha valami legális adatmentési díj lenne, akkor azt mondom, hogy fizessék ki akár a 14 ezer dollárt is, bár még egy kis bizonytalanság annál is ott lenne, hogy esetleg nem az adatok 100%-át sikerül visszaállítani. De így, hogy bűnözőknek megy, akik simán továbbra sem adják vissza az adatok elérhetőségét, nem éri meg egy fillért sem adni.

Számtalan esetről hallottam, amilyenről te is írsz, hogy fizettek, de nem kaptak kulcsot, vagy nem működött a kulcs, vagy még több pénzt kértek. Azért mondom, hogy az ilyenek szava amúgy sem ér semmit, nyilván azt mondják, hogy ha fizetsz, visszakapod az adataid, de mennyit ér ilyen élősködő emberek szava? Ja, mert becsület szavát adja, meg anyja sírjára esküszik, ami megint nem ér semmit, ha fizetés után pofán röhög, és ott tartunk, ahol a part szakad, és nem csak hogy az adatok nincsenek meg, de még extra anyagi kár is halmozódott rájuk.

Az a baj, hogy sokan naivak, csak összegetek látnak, amivel mechanikusan kalkulálnak, és az életszerűségi-emberi tényezőket figyelmen kívül hagyják. Így működik a bűnözés, nincsen semmire garancia, semennyi pénzért, nem csak ransomware-nél, más zsarolási formáknál sem, meg emberrablásnál sem szokott biztos lenni, hogy fizetés után elengedik az illetőt, nem nyírják ki (heccképpen vagy nyomokat elfedendő), stb.. Épp ezért nem jó ezekbe a játszadozásokba eleve belemenni, elvi okból. El kell fogadni a bukót, fájdalmas, de az a legtisztább.

A computer is like air conditioning – it becomes useless when you open Windows.” (Linus Torvalds)

Alapjaiban egyet értek. Egy ponttal van bajom. Eset Endpointtal (hivatalos, frissített) kaptunk be annó orosz spammer vírust, és egy ransomware-t is, plus a Sonicwall tűzfal-on keresztül (várárolt, frissített eszközök).

Azóta valahogy nem bízok semmiben. A Sonicwall eszközök a fizetett frissítések lejárta után fél éven belül fizikai meghibásodást produkáltak, (4 TH, 4 eszköz, kivétel nélkül), vajon véletlen lenne? .

Na innentől csúcsra jár nálam a paranoia. :).

Mindamellett én a kis rsync-es 10 perces mentésemmel, és az észlelés után félórával kicserélt pc-vel, megúsztam az egészet (visszaállítás 10 perces mentésből).

Olyanról nem hallottam még, hogy azonos névvel titkosítson egy ransomware, de arra én sem tudnék előző napi mentésnél jobbat...

Az az eszköz amit nem én raktam össze, és nem én telepítettem, kerüljön bármennyibe, hááát, nem tudok benne feltétel nélkül megbízni ...

Sajnos ilyen a popszakma :))

Bármelyik vírus roppant sokrétű, nagyon nehéz megfogni. Átjönnek ezek mindenféle felhőn is néha, sőt, egyre kevésbé néha. Ha az adott url, vagy email nincs ott hash szinten valahol, akkor átjön.

Ha Linux alap, akkor az rdiff nevű, rsync alapú, mentési megoldás sem rossz. A felülírást mindenképp kerüli, és egész használható a parancssora.

Ha az adatok többet érnek, mint amennyit kérnek érte, és nincs mentés, fizetnék.

De nem leszek ilyen helyzetben, mert ami céges és magán adataim vannak, azok egyfelől nem érnek ennyit, másfelől van több mentésem.

disclaimer: ha valamit beidéztem és alá írtam valamit, akkor a válaszom a beidézett szövegre vonatkozik és nem mindenféle más, random dolgokra.

Akivel mar fordult elo ransomware, az bizony aterzi. Velem fordult elo, nem jo erzes.

Szerdan tudtam meg, es hetfoi mentesbol alltam vissza. Persze virusirtot fizeti a ceg (mostmar tobb milliot kiadtak ra evek alatt), aztan annyit is er szerintem (semmit).

 

En akkor felvetettem, hogy legjobb lenne minden hetfon minden windowsos gepet automatan ujrahuzni, es elvetni a virusirto szoftverek hasznalatat.

Persze hulyesegnek lett titulalva (vegulis lehet az:), igy ez annyiban maradt.

Saying a programming language is good because it works on all platforms is like saying anal sex is good because it works on all genders....

Ha fontos az adat, akkor fizetnek. Ha nem fontos, akkor pedig nem. Mi a kerdes? :)

"Nem akkor van baj amikor nincs baj, hanem amikor van!"
Népi bölcsesség

Érdekes téma. De azért 10-20 fős cégnél is minimum a hálózati adattár snapshotolása, backup, majd offline backup.

Ami engem meglepett, hogy ezek a ransomware cuccok már célzottan mennek eszközökre, mint pl Synology, és a snapshotokat is képes eltüntetni.

TBH: én a mai napig használok BD-t archiválásra :D

Igen. Backup appliance virt. gép szintű mentés vCenter-en keresztül + agent-en keresztül + DB-k mentése SQL agent-tel + napi full mentés szalagra a ugyanezekről.

Szalagok időközönként mennek a páncélba

Emellett termêszetesen be van kapcsolva a Shadow Copy mindenhol, de azt egy ransomware elsőként törölné.

Mégsem vagyok biztos abban, hogy ez 100%-ban elég. 🤣

trey @ gépház

Synology csak egy ugyanolyan kutyaközönséges célpont, mint a soho rúterek, pl. dlink, és tsai. Mivel valamilyen okból a synologyk szeretnek az internetről közvetlenül elérhetőek lenni pl. http(s)-en (mert default ilyen a konfig, v. mert a usereik nagytöbbsége beállít rá portforwardot a rúteten azt nem tudom), és sok adatot tárolnak rajtuk.

NAS-ra is lehet biztonságosan menteni, na nem SMB share-ként vagy iSCSI target-ként felcsatolva a Windowsos gépre, mert a ransomware azt is viszi mint a piros ász. Olyan NAS kell, amihez van backup agent, azzal kevésbé tud mit kezdeni. Természetesen a NAS admin felületét nem tesszük ki a net-re.

trey @ gépház

De pont ezt mondom, hogy a syno valami miatt 1. számú célpont volt 2015-6 környékén, mikor az első ransomware-k megjelentek, synolocker indította el a hullámot. Ha jól tévedek az pont azt használta ki, h. a syno admin webui kin volt publikálva az internetre.

Syno amúgy tud agent-es backupot? 2-3 éve néztem utoljára a cuccaikat, mert syno így syno úgy folyt a csapból már évek óta, gondoltam egy 2-3 lemezes nas-ra otthonra csak beruház(nék) én is. Ne legyenek már olyan össze-vissza a diszkeken tárolt cuccaim. Az 1 (azaz EGY!) lemezes NAS-nak semennyire nem értelmezhető dobozuk volt 100 ezer körül. Na mondom elmentek ti az anyátok picsájába. Egy valamire értelmezhető 2-3 lemezes raid-képes cucc meg már bőven a fájdalomküszöböm felett ment akkor is. Azóta sincs :(

Tényleg csak piackutatás céllal: most már 1millió ft egy 2-3 lemezes dobozuk, ami még ugye mindig messze nem enterprise teljesítményű?

Ha csak úgy odavágunk valamt a hálózatra az lehet bármi, nem lehet rá komolyan építeni. Eleve a mentésre használt NAS lehetőleg legyen szeparált a mindennapitól. Ha pedig valamilyen virtualizációs történet megy akkor a hosztoknak amúgy is illik egy védett és szeparált hálózatot adni, amibe a mentéshez szükséges NAS bepakolható, esetleg az az egy (és korlátozottan elérhető) VM, amiről intézik a mentést (ha pl. Veeam-et használnak).

E mellett ha csak annyi megvan, hogy a "legkisebb szükséges jogosultság" elvet végig követik a helyi hálózaton, akkor a problémák jelentős része keretek között tartható. Ez nem valami új csodamegoldás, hanem 10-15 meg 20 éve is ez volt az ajánlott.

VPN fronton például a Windows Server tud olyat, hogy minimum patch levelt meg aktív vírusvédelmet lehet előírni a csatlakozónak, vagy hogy domain tag legyen. Egy sima Mikrotikes megoldás ilyen mélyen nem tudja klienst kontrollálni. (https://petri.com/remote-network-access-enabling-network-access-protect…)

Nekem nem kell magyaraznod a network quarantine-t, egy időben piszkáltam NPS szervert is. Sajnos nem értettem hozzá annyira, amennyire szerettem volna.

De amúgy valamiért sehol nem a msft OS built-in vpn klienst használják. Szinte a világon mindenki 3rd party VPN megoldasra esküszik, senki nem bízik a ms sajátjában. Vajon miért...? :)

Feljebb meg csak annyit mondtam, hogy megvette a sok laikus a szinolodzsi nas-t, mert azt látta a szomszéd pistikénél is, a synology OS update-t meg nem futtatta rajta rendszeresen. Aztán így kirakták publikus netre DMZ-be, vagy portforwarddal, hogy bárhonnan el lehessen érni. A synolocker meg is találta, el is érte a sebezhető OS-ű verziókat. Talán még úgy rémlik h. volt már rá update, amikor elkezdett támadni, csak hát sok helyen még nem rakták azt fel, így bekapták a titkosítós szart.

A Windows VPN-t simán lehet jól használni, csak ahhoz extra licensz kellhet (by default tudja, de külön VM-en szoktuk futtatni, és az alap licensz csak hypervisor + 2VM-et fed le), meg azért nem outofbox rendesen beállítani. Egy rendes tanusítvány sem utolsó, ha a relatív gondmentes SSTP -t szeretnéd belőle, bár az minden implementációban kötelező.

Sajnos az update és karbantartás hiány általános probléma, pedig az szintén egy komoly gátja lenne a mindenféle ware-eknek.

Az merült fel bennem, hogy a több, mint 50%-ban üres SSD-k esetén, mivel nem az eredeti fájl kerül felülírásra, van-e lehetőség házilag a helyreállításra(vagy mint itt, ha rögtön lecsapták volna a gépeket, amikor még nem volt az egész titkosítva)?

En nekik nem fizetnek, de elkezdenem a TOR halozaton terjeszteni, hogy a sziciliai maffiafonok anyukajarol terjesztenek deep fake porno kepeket, amin egy loval... Hatha hatekonyabbak mint a rendorseg.

Szerkesztve: 2022. 11. 27., v – 19:23

Fizetne a f@szom. Küldenék nekik egy üzenetet, hogy köszi, hogy töröltétek a sok felesleges szart a meghajtókról, így nem kell horror áron bővíteni. Gyalu és csókolom.