Sajber Bezbednost

Hakerski napad na domaću firmu virusom Ransomware – drugi deo

 

Kao što smo opisali u prvom delu šta je ransomver i kako se ponaša kada se nađe na inficiranim računarima, sada ćemo videti kako je uopšte dospeo na računare.

Posetili smo firmu gde je vladala velika glavobolja zbog gubitka podataka. Naravno, odbili su da plate hakerima 1600 eura.

U firmi se nalazi 11 računara, jedan server i jedan mail server.

Forenzikom svih radnih jedinica i drugim proverama, ustanovili smo da je mreža bila otvorena i potpuno nezaštićena. U ovoj situaciji sa ovakvim klijentom možemo slobodno da kažemo da je imao sreće što napad nije bio “preko” mreže, tzv Spoofing napad, već nešto drugo.

Hakerski napad na domaću firmu virusom Ransomware CryptXXX

Pre nego objasnimo postupak i šta se zapravo dogodilo, pokušaćemo da skrenemo pažnju na neke druge detalje, koji su u stvari najvažniji.
Ako ste pravno lice i u opisu vašeg posla je svakodnevna razmena velike količine dokumentacije i podatka putem emaila i servera, pročitajte pažljivo nastavak.

  1.  Kada imate potrebu da angažujete Sistem Administratora, povedite računa koga ćete dovesti u firmu da vam podesi server i računare.
  2.  Nemojte predavati svoju imovinu svakom u ruke, jer vam sutra taj “sistem admin” neće izvaditi novac iz džepa i reći “evo ja ću da platim otkup ključa”.
    Ljudi koji jesu zaista Sistem Administratori, održaće vam kratku obuku šta smete i šta ne smete da radite. Kako da se informatički ponašate i koristite računare, kao i server. Niko ne može da vam garantuje 100% sigurnost, jer hakerski alati su uvek korak ispred.
  3. Povedite račna šta zaposleni rade u toku vremena s mailovima kao i da li neke nepotrebne programe skidaju s Interneta.
    Nemojte da ih špijunirate, već s njima razgovarajte. Prosto svima mora da bude jasno da su tehnologije toliko napredovale da ovo više nije 2003 i era XP Windows, kao ni dial-up konekcije.
  4. Takođe, da li vam računari ostaju upaljeni preko noći u firmi i da li zaposleni nakon radnog vremena imaju pristupe računarima, da bi možda nešto završili od posla za sutra.

Znanje i poverenje

Ovo su sve propusti u sajber bezbednosti i ovakve stvari mogu da vas koštaju mnogo.
Preduzeće može da ima nesagledive posledice ako se ponašamo neodgovorno prema poslu i uopšte prema Internet bezbednosti.
S jedne strane možemo da okrivimo sistem administratora, jer nije podesio ništa što bi bar na trenutak osujetilo napad.
Zatekli smo komplet nezaštićen server, koji je dignut na Windows 7 Professional.
S druge strane, veliku odgovornost snosi firma koja im je prodala poslovni softver.

Razume se da postoje mnogi softveri koji rade samo na Windows operativnim sistemima, ali ako ste već primorani da kupite takav softver, onda se bar raspitajte šta znači Virtuelna Mašina.
Svaki Sistem Administrator će vam predložiti da postavite VM, ukoliko želite da koristite Linux server u Windows okruženju, ali pitanje je da li će svaki da vam napravi zaštitu.

Poslovni softver

Zatekli smo poslovni softver u firmi i u razgovoru s ljudima koji su napravili softver saznajemo da on ne može da radi na Linux serveru.
Na naš predlog da se uradi Virtuelna Mašina i podigne server, s druge strane je bio tajac. Što znači, da su to i oni mogli da urade, ali nisu.

Dakle, u ovoj situaciji ima krivice i onih koji su pravili softver, s obzirom na to da softver ima bazu podataka, što znači da će verovatno biti negde na serveru!
Nisu uzeli u obzir da postoje klijenti koji neće želeti da imaju Windows server, već Linux, radi same bezbednosti.

Bezbednost servera i mreže

No, vratimo se na administratora. Računari su podešeni tako, da se svi vide na mreži i imaju pristup jedni drugima u dokumentacije. Od administratorskih priviliegija nema ništa..

Što znači, da je bilo ko mogao da se zakači na njihovu mrežu i dok ispija kaficu pokupi sve podatke s računara i servera.

Server je bio potpuno nezaštićen.
Dnevni bekap podataka se radio na dva nivoa.
Ni traga ni glasa od inkrementalnog bekapa.
Prvi, server bekap, a drugi koji je rađen za mail server.
Zašto je ovo bitno.
Pre svega iz razloga što server koji je radio bekap, automatski je ubacio na drugu mašinu (mail server) isti bekap.

Ovde dolazimo do prvog problema i da vidimo kako je virus dospeo na server.
Ransomver virus CryptXXX 3 generacije, stigao je preko emaila, odnosno tog istog bekapa na dva nivoa.
Taj email su zaposleni dobili u toku radnog dana sa adrese jednog od njihovih komintenata. Što postoji mogućnost da je i ta firma bila „zaražena“.
Neko u firmi je otvorio taj mail, raspakovao dokumentaciju i ….kraj.

Kada je virus već dospeo na jedan od računara, uveče kada je server radio svoj bekap, potpuno ga je pokupio i smestio na oba servera.

Samim tim, zaključao je sve i tako su podaci izgubljeni do daljeg.

Hakerski napad na domaću firmu virusom Ransomware

Nije svaki Email pogodan za otvaranje

Povedite računa kakve mailove otvarate, najčešće su to .zip i .doc .
Dakle ako vam stiže s nepoznate adrese, nema potrebe da istražujete takve poruke, pogotovu bez antivirus skena ili antimalver skena.
Ukoliko ste skinuli takav fajl i on vam ne prikaže ništa sumnjivo, to ne znači da pri prvom restartovanju računara moći da pristupite vašem sistemu.
U prošlom postu smo govorili kako radi Satana ransomver.
Dakle, nakon restarta on počinje svoju instalaciju.

Tehnologijama možemo da probamo da poboljšamo mnoge stvari, ali glavnu ulogu vrši ljudski faktor. Svi sistem administratori ovog sveta mogu da nameste i „kineski zid“ kao zaštitu, ali ako neko klikne na pogrešan mail i otvori ga, taj zid pada kao kula od karata.

Informatička obuka za zaposlene

Iz ovoga možemo da zaključimo da je više nego neophodno da se vrše informatičke obuke zaposlenih po preduzećima.
Ukoliko želimo da radimo sa email porukama i da razmenjujemo podatke, moramo znati osnovna pravila ponašanja kada su nove tehnologije u pitanju.

Virusi su toliko sofisticirani, da bukvalno za email koji dobijete od prijatelja mislite da vam je on poslao, a u stvari se krije virus iza njega ili neki drugi napad.
U nekim od narednih tekstova će biti više reči o tome.
Vodite računa koje mailove otvarate, jer nisu svi mailovi za otvaranje.
Ako ste već radoznali onda ga skenirajte anti-virusom ili anti-malver programom.

Vlasnici preduzeća će morati više da investiraju u bezbednost, to je postala obaveza ukoliko želite iole sigurno poslovanje.
To nisu milionske investicije, ali mogu vam spasiti milione.

Nemojte štedeti na obuci zaposlenih, kao ni na kupovini potrebnih hardverskih komponenti.
Sve te investicije će vam se višestruko vratiti u to budite potpuno sigurni.

Savet

Koristite anti-virus zaštitu, anti-malver zaštitu, kao i adblokere (softver koji blokria reklame na Internetu).  Na taj način umanjujete rizik dok pretražujete nešto da kliknete na pogrešnu rekalmu koja vodi pravo na neki inficirani sajt.
Redovno ažurirajte softvere koje koristite.
Zaštitu od Ransomware virusa možete potražiti ovde.

Ukoliko nemate anti-virus zaštitu, posetite sajt Kaspersky
Na blogu Kompjuteras možete prikupiti još korisnih saveta kada su serveri u pitanju.

Ukoliko vam je tekst bio od koristi slobodno ga podelite s prijateljima, možda nekom pomogne.

 

Dodaj komentar