Názory k článku Vyděrači v počítači: jaká je nejlepší obrana proti ransomwaru?
-
Redmarx (neregistrovaný)
"V tomto případě přišel oběti e-mail s phishingovým obsahem"
Prosim o upresneni te vety.
Ten email prisel domacimu uzivateli nebo do firmy?
Ono se to nemusi zdat, ale je to dulezite, protoze pokud to byl firemni email, tak je reseni jednodussi. Vyhodit spravce emailoveho serveru, nebot nakazeny email vubec projit ke koncakovi nema. :-)
-
A.S. Pergill (neregistrovaný)
Spíš si někam zajedou s přenosným HDD a ta data na něj nahrají a přivezou. Za mých mladších let se tomu říkalo "kabelový přenost" (dal štos disket do kabely a jel pro data). V dobách telefonního připojení to vyšlo levněji než stahování po internetu, i při započtení rozumné hodinové sazby pro přenašeče, i při zakoupení lístků na MHD pro něj na tuto akci.
-
A.S. Pergill (neregistrovaný)
Problém vidím v tom, že windows jsou udělána tak neinteligentně, že jakákoli bezpečnostní záplata může totálně rozhodit celý systém a může dát hodiny práce, než se to nějak dá zase do funkčního stavu. Z tohoto důvodu normální uživatelé neaktualizují a ani aktualizovat nebudou a budou naopak provádět sofistifikované aktivity, aby se jim systém neaktualizoval automaticky.
Oproti tomu v linuxu jsem se ještě nesetkal s tím, že by aktualizace nebo bezpečnostní záplata ovlivnila něco jiného než program, který je záplatován (maximálně při záplatě knihovny to může pocítit více programů, které ji potřebují k práci). Pozitivním rozdílem je také i relativně snadné uvedení počítače do stavu před aktualizací. -
Řekl bych, že vybudování té 100km optiky do datového centra bude řádově stejně snadné, jako vybudování 300km optiky do místa, kde máte geograficky oddělenou zálohu dat. Nebo vy za zálohu považujete něco, co máte ve stejném baráku?
Šifrování už bylo vynalezeno, a proti zveřejnění dat je to myslím docela dobrá obrana.
-
fd (neregistrovaný)
Jiste, podobne blaboly radi uvadi PR pracovnici takovych agentur ... jsem zvedav, za kolik mi natahnete 100km optiky do datoveho centra, protoze to je jediny zpusob jak zajistit realnou konektivitu.
A o garancich zjevne nemate paru, jelikoz ztrata pripadne jeste hur, zverejenni dat muze v korporadu znamemat skodu v desitkach anebo i stovkach milionu - dolaru. Rad s vami uzavru smlouvu, kde se mi zarucite - protoze se vam nic nestane, ze mi v takovem pripade vyplatite miliardu. Pochopitelne budu pozadovati prislusne vase smlouvy s pojistovnami na takovou castku.
-
. . (neregistrovaný)
cucáš si parametry z prstu a pak je kritizuješ.
Datová propustnost z/do cloudu může být v desítkách Gb/s, hned několik společností u nás má na EC2 10Gb/s linky.
Garance? Jak jinak chceš řešit garanci než smluvně? Když ti odejde diskové pole, stejně musíš za dodavatelem, aby ti ho opravil.
Podobné zálohování nabízí řada firem, historie může být třeba časově neomezená, záleží pouze na datových objemech (případ Azure).
-
Jirka (neregistrovaný)
"Velmi důležitý je také aktualizovaný operační systém, kancelářský balík a prohlížeč..."
Není tomu náhodou tak, že při několika z těch nedávných ataků ransomware byly bezpečné právě staré pc s win XP? I když to je jen perlička.
Důležité ale je, že automatické aktualizace win 10 jsou těžký bezpečnostní fail samy o sobě, protože nikdy nevíte, kdy a jak vám rozhodí nastavení pc, včetně nastavené bezpečnostní politiky, nebo dokonce znefunkční uživatelem instalované bezpečnostní programy úplně. O win 10 je vůbec škoda mluvit, takový systém se k pracovnímu nasazení prostě používat nemá.
A nové verze prohlížečů velmi často přidávají podporu nových "moderních" a velice "potřebných" technologií, řada z nich nemá jinou uživatelskou hodnotu, než přibývání bezpečnostních děr do pc.
Osobně aktualizuji pouze manuálně a pouze tam, kde jsem si vědom aspoň rámcově obsahu aktualizací. V pracovním prostředí to samozřejmě je složitější, ale opět, minimálně automatické aktualizace prohlížečů považuji za neúměrné riziko i zde. Těžko má někdo čas, aby si hlídal, zda autoupdate proběhl a jaké měny v konfiguraci browseru přinesl.
Když to sečtu, všeobecné doporučení k zapnutí automatických aktualizací kvůli bezpečnosti se mi nezdá správné, ani vůči totálním bfú. -
Nevim, jestli je nejstastnejsi posuzovat obrannou strategii vuci jedinemu typu ransomware, navic ne v technicky nejlepsi implementaci.
1) Proti spusteni nechteneho kodu, prip. zasadnim omezenim jeho moznosti, poslouzi MAC. Ten na Linuxu implementovala NSA, odpovidajici nastaveni jiste vsem vladnim institucim poskytne nove NCKB, s defaultem se totiz nevystaci. Bylo by hezke, kdyby toto nastaveni bylo zdarma poskytnuto i ceske Linuxove komunite. V prostredi Windows seriozni obrana v tomto smeru neni.
2) Ransomware casto vykrada uloziste s hesly a kontakty, na WinXP klidne i PStore. K tomu plati vyse uvedene v bode 1. Windows nemaji seriozni obranu krome blokovani odchozi sitove komunikace s deny-default a white-list-explicit - a ani to neni reseni. Ziskana data se koncentruji, vymenuji a obchoduji pro dalsi utoky.
3) Sifrovaci klice nemusi nutne generovat strana C&C, ale dela to klient a vysledek odbavuje pod verejnym klicem utocnika do jeho C&C. Verejny klic je soucasti binarky, aby se ransomware neprozradil jeho stahovanim z C&C nez se provede (ev. muze provadet) sifrovani uzivatelskych souboru. Z cehoz plyne, ze spolehat na detekci C&C spoju neni vhodna strategie.
4) Zalohovani s historii je kapitola sama pro sebe. Seriozni zajemce by mel zacit u http://www.backupschedule.net/backupschedules/towerofhanoi.html nebo hledat zalohovaci prostredky v jeho cenove kategorii.
5) Provadeni block-level snapshotu je skvele reseni, ale vubec nechrani pred nebezpecim z bodu 2. V komerci vsak muze ve spojeni s PXE dobre poslouzit i pro klientske boxy, minimalne pro analyzu.
6) Pokud se rozhodnete zaplatit vykupne, je nutne desifrovat v uzavrene ohradce, data prenest a radeji cely system reinstalovat/reklicovat (opet viz bod 2).
7) Tzv. Kill-switch mohla byt jen vakcinace pro site utocnika a zaroven cesta jak ho najit, resp. jeho klienty vyuzivajici vakcinovane rekursivni DNS. Vubec to nemuselo souviset s dodatecnou snahou utocnika neco zastavovat. Cimz nechci policii napovidat, kde by mela hledat tvurce ransomwaru s kill-switch - je to jejich job, oni tomu nejlip rozumi.
Mozna by mel autor jeste popsat jak se muze uzivatel opravdu chranit a jake limity dana ochrana ma - nez se bude venovat budoucim trendum. Bez toho je takovy uzivatel stale v nejistote a koleduje si o dalsi hit, jen z jine strany nez ceka.
Linuxare bych jeste upozornil na Linusovy vyroky - jednoznacne preferuje pouzitelnost pred kvalitnim bezpecnym kodem a resenimi, takze si nemyslete, ze jste s Linuxem za vodou.
-
fd (neregistrovaný)
Ad "cloud": Takove "zalohovani" je v korporatni sfere prakticky zcela knicemu.
Je to minimalne dvakrat drazsi nez vlastni HW, a je to zcela nepouzitelne v okamziku, kdy ta data budete vazne potrebovat. Protoze ziskani tech dat muze trvat hodiny nebo i dny. Spocitejte si, jak dlouho potrva na rekneme 100Mbit lince postahovat 1TB. Rychlejsi linka vas pak nezachrani, protoze vice vam jednoduse neda to cloudove uloziste.
O nulovych garancich naprosto cehokoli pak radsi nemluve, smluv jsem na to tema videl pomerne slusnou hromadku. Mozna by i nekdo byl ochoten neco garantovat - za cenu za kterou zmultiplikujete celou svou infrastrukturu nekolikrat.
Co se soho tyce, jak bylo receno, aby to melo jakys takys smysl, musela by tam byt historie alespon radove mesic. Ne kazda vec zasifruje behem par desitek minut vse na co narazi, a bezny uzivatel rozhodne nekontroluje den co den zda mu jde vse otevrit, natoz aby si hlidal nejake anomalie v mnoztvi zmen. Coz "zadarmo" rozhodne nebude.
-
Petr M (neregistrovaný)
Spíš bude problém v tom, že tam může být hodně omezená historie (třeba tři verze souboru) a tohle, v kombinaci s natvrdo daným adresářem (jak to má třeba Dropbox), není zrovna neprůstřelný. Kopie do /tmp, 3x přepsání bincem, zašifrování souboru v /tmp a přesun zpět. Hotovo.
Já to mám ještě jinak. Mám uživatele, řekněme petr. K němu druhýho, petr_archiv ve stejné skupině. Cron spustí co tři dny script pod petrem, který projde zadaný složky a pokud najde soubor, starší než týden, tak provede chown a chmod. Od té chvíle není soubor můj (nemůžu měnit vlastníka a práva), kdo je ve skupině s petr_archiv, může číst a nemůže zapisovat. Když to pak chci změnit, "su petr-archiv", heslo a přehodím co potřebuju chownem. Po změně se to vrátí zpět samo, nebo si to zase přepnu...
Používám to na fotky, domácí videa, smlouvy,... Prostě na to, co se po nějaké době nemění. K tomu samozřejmě mirroring dat mezi desktopem, NASem a noťasem. Navíc DejaDup + 2x externí HDD na střídačku.
A může někdo chtít $50 za moje fotky. Tůůdle.
-
milan.m (neregistrovaný)
Jsem linuxák takže souhlasím s předchozím názorem ohledně aktualizace celého systému včetně instalovaných programů. Ale napadá mě ještě jedno řešení které jsem nikdy neodzkoušel... Takže to bude jen hypoteticky.
Zálohování do cloudu je dneska brnkačka, máte na počítači klienta a vše co se změní tak nahraje na server. To by samo o sobě nic nepřinášelo, ale některá cloudová řešení mají historii souborů. Takže by mělo jít se vrátit.
Pro jednotlivce to je realistické, když vybere cloud který umí historii, google 15GB je zdarma. Je to omezené, v tomto případě bych řekl velmi přínosné.
Pro firmy se obávám že toto bude nákladnější, ale fakt nevím. Spíše větší problém (lenost) poptat se po takovém řešení a nahodit na něj celou firmu.
-
Petr M (neregistrovaný)
"Velmi důležitý je také aktualizovaný operační systém, kancelářský balík a prohlížeč – záplatování známých chyb ztěžuje útočníkům infikování počítače. K tomu účelu výborně slouží zapnuté automatické aktualizace."
Tím se (teoreticky, rozbíjení konfigurace a funkčních věcí na W10 je obehraná písnička) nic nepokazí, ale taky nic nezachrání. Aktualizovat je potřeba všechno, a pokud to nejde, tak minimálně všechno, co komunikuje ven nebo spouští programy.
Třeba takový JRE. Co kdyby spouštěl uživatel nějaký terminál, psaný v Javě, co leze ven, a JRE mělo zrovna chybu, skrz kterou se dá modifikovat a spustit ta aplikace? Automatickou aktualizaci JRE jsem teda ještě neviděl, přes W update už vůbec ne :( No a další prů... je to, že si aplikace s sebou tahají i věci, jako .NET runtime, protože často visí na nějaké neopravené, zastaralé verzi a nikdo to nikdy nefixne. Schválně, kolik verzní .NETu máte aktuálně na disku???
Nebo takovýnejběžnější program na prohlížení PDF, který se snaží zuby nehty vecpat všechno do čmoudu a řeší si aktualizace (nevím jestli bezpečnostní, ale rozhodně zhoršující UX) po vlastní ose? Kolik uživatelů ví, co takový online PDFko dokáže napáchat a kolik děr je u něho v komunikaci?
Taky je fakt, že řada prográmků si řeší aktualizaci po vlastní ose. Po spuštění se mrknou na server a pokud najdou novou verzi, zobrazí se info na stažení SW. No a teď si představte, že autor řešil aplikaci, ne její update, takže to pere na nešifrovaný FTP server a ptá se nešifrovaně.Stačí podvrhnout DNS odpověď při startu na útočníkovo FTP, kde je u instalátoru přibalen appstart.exe, který dělá kdoví co a jen tak mimochodem, aby se neřeklo, spustí aplikaci...
Ruční aktualizace? I když mám ten program na kompu, i když by tam byl podpis autora a šlo by ověřit, že nově stažená verze je nezměněná a od autora podepsaná, Widle to neumí. Total fail.
A co přehrávače médií, ty není potřeba aktualizovat? Přece už tady taková zranitelnost při streamování médií byla minulý rok...
Zlatý Linux, repozitáře a balíčky podepsaný GPG. Tam se to aspoň bere jedním příkazem komplet a bez restartu.
To, co má většina uživatelů za aktualizace, je hradba kolem města, ale vzadu u řeky přerušená, protože nepřítel v brnění přece nemůže plavat. Co na tom, že je v řece jenom metr vody...
ČLÁNKY DO MAILU