История одного звонка

“У меня зазвонил телефон:

- Алло, Альбина, доброе утро.

- Доброе утро.

- Это Лариса Николаевна, главный бухгалтер. У вас не осталось наших копий? Нас зашифровали."

К сожалению, все чаще в последнее время мы слышим по утрам подобные звонки. Звонки горя, звонки беды.

Хотим дать несколько советов. Возможно, они покажутся кому-то занудными, но такова наша жизнь.

Может быть, кто-то воскликнет: "Это же прописные истины!" Мы рады за такого читателя, что он знает описанные советы, и у него все под контролем.

Может быть, эта статья станет весомым аргументом для директора, руководителя, главного бухгалтера и он, человек отвечающий за информацию и учёт, начнёт задавать вопросы своим системным администраторам. Прямым текстом спрашивать: "Что будем делать, если случится беда?"

Это не рекламная статья. В ней не будет технических описаний, советов, названий программ. При желании, можно будет связаться с нами, мы поясним работающие решения

Имейте в виду и всегда помните: идеальная защита от взлома, от шифрования только одна - не включать в розетку вилку от системного блока компьютера. Мы живем в обычном мире, нам надо работать и подобные системы защиты нам не подходят. А значит рано или поздно может случиться беда. Давайте к ней подготовимся.

Подготовка состоит из 2 частей:

Часть первая. Защита.

Как защититься от подобных проблем? Давайте рассуждать логически. Чтобы злоумышленник зашифровал, нужно чтобы он попал к нам, подключился на наш компьютер. Как он может это сделать?

1. Просто взять и подключиться. Да, до сих пор встречаются заказчики, у которых сервера открыты всем ветрам.

"Ну и что, - скажет читатель, - у нас же стоят пароли". Мы парируем: а часто ли вы или ваши сисадмины смотрят в журнал сообщений и отслеживают попытки входа с ошибочным паролем? Вот то-то и оно. А там бывает очень интересно, там бывает. что жизнь кипит, только ее никто не замечает.

Другая история: у нас в компании подключения всем ветрам не открыты. Но у нас существует регламент проверки внешних портов серверов: раз в несколько месяцев, потому что там редко что меняется.

Запускаем сторонний сканер, он нам говорит, что и как. Каково же было наше удивление, когда одна из проверок нашла открытый порт подключения к серверу! "Как?? Как так?" - воскликнули мы. Оказалось, что для тестов надо было внести изменения. Внесли. И оставили их там.

Когда мы встречаем подобную ситуацию у Заказчика, мы обязательно сообщаем директору о странной (на наш взгляд) ситуации. Конечно, такая ситуация у кого-то будет нормальной, рабочей. Но нам всем лучше перестраховаться, чем слушать утром: “Алло, у вас наших копий не осталось?”

А как же должно быть? Порт подключения к серверу (не будем вдаваться в технические подробности) должен быть или закрыт, или поставлен на фильтр адреса источника подключения. Например, наш Заказчик ставит у себя фильтр, и к нему можем подключиться только мы, и только с нашего внешнего адреса.

Недавно знакомый системный администратор провел эксперимент. Установил на компьютер систему, подключил к интернету и оставил так. Через 4 дня компьютер был зашифрован.

2. А если "внешних адресов не напасёшься"…

Например, директор улетел в командировку, или сотрудник ушел на "удаленку”. И им всем надо подключиться к своему рабочему месту, чтобы поработать. Для этого на сервере разворачивают VPN сервер. Нет нет, это не те VPN сервера, которые запрещает Роскомнадзор. Это VPN сервер, развернутый у себя. Удаленный сотрудник подключается сначала к VPN серверу и оказывается в составе нашей локальной сети. Дальше сотрудник заходит на сервер и, с точки зрения сервера, пользователь заходит из нашей локальной сети. Само собой, тот же принцип: часто смотрит ваш сисадмин на попытки подключения к VPN с неправильными паролями?

3. А кто у нас зашёл?

В нашей компании для контроля стоит информирование: при каждом подключении к VPN северу, при каждом входе на сервера, сисадмину приходит уведомление. Раньше смс, теперь в телеграмм. Зачем? Можно сразу понять, что что-то идёт не так. Например, приходит уведомление о входе пользователя Администратор. “А я кто?”, - спросит себя сисадмин. Несоответствие между ожидаемым и происходящем уже повод задуматься и проверить.

4. А где пользователи хранят пароли? Догадаетесь? Самое популярное место - прямо в ярлыке подключения. Нажал на ярлык и зашёл. 

Давайте запретим это, издадим приказ по предприятию? А давайте! Ну как, получилось? Перестали хранить? А давайте сделаем так, чтобы сервер при подключении всегда запрашивал пароль снова. Уже лучше, но не очень удобно. Пароли сложные, набирать тяжело.

Что сделает пользователь? Итак, второе по популярности место хранения пароля - текстовый файл на рабочем столе. Да-да, просто и со вкусом. А если мы вспомним, что рабочий компьютер удаленного пользователя уже не “видим” сисадмину, то можно начать покрываться испариной.

Взломать компьютер удаленного пользователя, филиала значительно проще, чем сервера. Хотя бы потому, что за сервером смотрят внимательно, а за рабочими станциями, тем более, домашними - нет.
И по нашему опыту, компании, которые подверглись взлому, взломали через удаленные компьютеры филиалов и сотрудников.

Что делать? Работать же надо! 

Давайте возьмем пример с сервиса Госуслуг. Кроме пароля пользователь должен ввести OTP код (код подтверждения). Код существует 30 секунд. Код выдается на смартфон пользователя. В результате мы усложнили задачу злоумышленнику - и компьютер взломай, и смартфон взломай. Можно? Можно, но сложно. И сложность увеличилась не в два раза.

Мы у себя в Компании запускаем эту технологию. На запуске выяснилось, что чаще всего всё-таки пароли записывают в ярлык…

Код подтверждения можно высылать в специальную программу на телефон. Подобных программ много. У подавляющего большинства пользователей смартфоны. А иначе, как же Youtube? А ВК?

5. Под каким логином работает администратор? Странный, казалось бы, вопрос. Однако под логином Администратора никто не должен работать. Да, даже системный администратор должен работать под правами обычного пользователя. В случае необходимости повышения прав, система запрашивает логин и пароль и повышает права именно на эту операцию.

Часть вторая. Восстановление.

Итак, нас зашифровали, несмотря ни на что. Ещё раз подчеркну, надо об этом всегда помнить. Мы не можем себе позволить идеальную защиту.

Что будем делать?

Платить выкуп? Да, часто требуют выкуп за дешифровку. Причем дорого. Возможно, речь пойдет о миллионах рублей. 

Есть одна деталь, которую обычно упускают пострадавшие: а как быстро у вас появятся данные после уплаты выкупа? Дело в том, что процесс дешифровки долгий. Объемы данных в организациях все больше и больше. Этот процесс может занять недели! Казалось бы, вы все заплатили, а работать все равно не получается.

Другие стороны выкупа мы рассматривать не будем. По нашим наблюдениям за развитием этой сферы преступлений, ожидаемо, что злоумышленники начнут заниматься продажей данных и шантажом.

Восстановлению подлежит две части.

1. Системы серверов.

С этой частью обычно не очень сложно. Дело в том, что у сисадмина всегда должна быть в запасах флешка для установки. Установка современной системы с флешки делается быстро. Дальше ставим нужные программы и готово. Нет установочной флешки? Тогда ищем образы, скачиваем и прочее. Ничего критически невосстановимого в этом обычно нет. 

А давайте сделаем архив системного раздела! А давайте. А где будем хранить? Да там же, на сервере, подключим диск.

Наивно полагать, что злоумышленник, сумевший получить доступ, не обладает навыками поиска архивов, даже если дисков хранения архивов не видно в проводнике.

У одного нашего заказчика был такой случай - само собой, диск с архивами был разрушен. О хранении архивов напишем чуть ниже, где без архивов никак.

2. Данные.

Восстановление данных - это восстановление из архивов. Другие варианты: "набить заново" - не рассматриваем.

Для того, чтобы восстановить из архива, его нужно создать. У вас, наши читатели, на предприятии делаются архивы? Точно? Кто-то проверял?

Мы у себя в компании храним архивы по следующей стратегии:

1. Архивы на каждую ночь в течении недели. Таким образом всегда можно поднять нужную базу за неделю на любой из дней.

2. Архивы на начало месяца в течении 12 месяцев.

У этому нас приучила бухгалтерия заказчиков. А как еще ответить на вопрос - у меня перестал “идти” первый квартал?

Где хранить архивы?

Безусловно, не на том же сервере. Хотя бы с целью безопасности. Был один случай: повреждение сервера в результате удара током, сгорела электроника.

А теперь, тонкий момент. Ну хорошо, мы настроили архивирование. Каждую ночь сервер отправляет архивы на другой компьютер. Минуточку! Если это делает сервер, почему это не может сделать злоумышленник? Помните, он уже сидит на вашем сервере. А значит получив доступ к удаленному каталогу, как ваш сервер, сможет разрушить архивы.

У нас в компании сделано так: сервер формирует каталог с архивами, этот каталог скачивает другой компьютер. Таким образом, злоумышленник может хоть напрямую смотреть, как идёт копирование, но до архивов не доберется.

Мы наблюдаем с годами, что вопрос с архивированием у заказчиков медленно, но решается.

Настало время перейти на следующую ступень: а ваш сисадмин пробовал разворачивать из архива? Да-да, были случаи, когда архивы есть, но из них не развернуться. Не важно по какой причине, не важно, кто в этом виноват. Задача системного администратора не только сберечь, но и восстановить. Устраивайте проверки восстановления архивов. Хорошо, не раз в неделю, хотя бы раз в полгода, а то и раз в три месяца.

Где взять столько места?

За последнее десятилетие стоимость 1Гб в составе жестких дисков стала недорогой. Жесткие диски размером 10Тб уже не в диковину и продаются в ближайшем магазине электроники. Стоимость жесткого диска по сравнению с проблемами после взлома, окажется сущими копейками. Мы не говорим еще о нервах, которые вообще не восстанавливаются.

В идеале нужно брать пример с определенных ведомств нашей страны. Надо проводить учения. Легенда очень простая - взлом, нужно восстановить работоспособность сервера. Поверьте, откатав три-четыре раза учения, вы удивитесь, какими были ваши первоначальные взгляды и прогнозы до этих учений.

А что делать обычному “домашнему” бухгалтеру? Научитесь делать архивные копии (только чур, правильно, а не по принципу “я всегда так делала”). Копируйте их на флешку. Хотя бы раз в неделю. Попросите, вам настроят ярлык для запуска этого процесса автоматически, как мы когда-то сделали у наших клиентов. Назовите его “Спокойная жизнь”.

Попросите сервис-инженера по вашему договору ИТС Проф настроить облачный архив. То же самое, но без флешки и ярлыков. По нашей практике этот сервис уже помогал и спасал базы.

Берегите свои нервы.