Jump to content
Калькуляторы

Ваня, Петя и другие - не страшнее гриппа

Материал:

“Вирусная атака, равной которой ещё не было, захватила весь мир”, - удивительно, но мы даже особо удивляться таким новостям перестали.

 

Полный текст

Share this post


Link to post
Share on other sites

Ничего про The Shadow Brokers, стащивших инструменты и список уязвимостей для вин систем, в числе которых eternal blue.

 

A National Security Agency spokesman referred questions about the attack to the Department of Homeland Security. “The Department of Homeland Security is monitoring reports of cyberattacks affecting multiple global entities and is coordinating with our international and domestic cyber partners,” Scott McConnell, a department spokesman, said in a statement.

 

Пресс-секретарь агентства по нац.безопасности предлагает обращаться в АНБ, а не бежать в магазин за сетевыми экранами. )

Share this post


Link to post
Share on other sites

Защиту от шифровальщиков надо делать с другой стороны - считать зашифрованные данные уже утраченными и бороться с подобным этим вместе с другими способами все потерять. Не только же зловреды к утере данных приводят.

Но в дополнении нещадно наказывать любые попытки авторам вымогателя заплатить. Ибо нефиг. Не будут платить - не будет и большинства шифровальщиков.

Share this post


Link to post
Share on other sites

Не будут платить - не будет и большинства шифровальщиков.

Борьба с изнасилованиями превентивной кастрацией.

Share this post


Link to post
Share on other sites

Защиту от шифровальщиков надо делать с другой стороны - считать зашифрованные данные уже утраченными и бороться с подобным этим вместе с другими способами все потерять. Не только же зловреды к утере данных приводят.

 

Ну в отличии от сдох HDD, тут сам бакап должен быть недоступен шифровальщику. бакап на съемный носитель, когда носителей физически недоступных более 2-х, вещь конечно хорошая, но немного дороговата для большого количества народу. А бакап на локально подключенный usb диск или на подмонтированную шару, снимает проблему с пропаданием данных по большинству причин, но вот шифровальщик скорее всего их тоже пошифрует.

Share this post


Link to post
Share on other sites

Борьба с изнасилованиями превентивной кастрацией.

Не понял логики.

 

А бакап на локально подключенный usb диск или на подмонтированную шару, снимает проблему с пропаданием данных по большинству причин, но вот шифровальщик скорее всего их тоже пошифрует.

Направление выделенного неправильное. Нужно не класть бакап на удаленный копьютер, дав доступ к нему на запись. А удаленный компьютер должен забрать данные для бакапа со специально предназначенной для этого службы на локальном. Которая служба по дизайну read-only.

Share this post


Link to post
Share on other sites

что сразу удорожает систему бакапа в разы :)

Share this post


Link to post
Share on other sites

что сразу удорожает систему бакапа в разы :)

Да разве? В простейшем случае в любом случае есть две железки. Тут ничего не меняется.

Теперь на том компе, который бакапится, делаем ту самую шару. В read-only режиме и доступом только одному специальному пользователю. А бакап сервер тупо их на себя копирует.

Share this post


Link to post
Share on other sites

если первое готовят мальчики на коленке, то, почему то, второе они не готовят. А те кто готовят второе, часто хотят больше денег, чем мальчики... а часто бывает вообще USB диск самый большой на сегодня по объему в соседнем лабазе и софт с него же и даже без мальчика... от "ой стер" и "ой диск помер" помогает... а вот от шифровальщика нет..

 

ну и не забываем что петя с ванакраем лазят через ваши права по соседям и в дыру тоже лазят.. если на втором серервере тоже винда, то надо, чтобы ваших прав туда попасть не хватало, и патчи стояли...

Share this post


Link to post
Share on other sites

ну и не забываем что петя с ванакраем лазят через ваши права по соседям и в дыру тоже лазят.. если на втором серервере тоже винда, то надо, чтобы ваших прав туда попасть не хватало, и патчи стояли...

Именно поэтому нужно, чтобы бакап сервер забирал данные, а не на него складывали. Если он просто забирает - то он может вообще сеть не слушать или его можно намертво файрволлом прикрыть. Если же мы пытаемся складывать - то так, увы, не получится. Ну и, разумеется, от виндовых шар придется отказаться и писать таки бакап-демона для компов. Виндовые шары не очень хорошо работают, когда сеть отфильтрована.

Share this post


Link to post
Share on other sites
Ну в отличии от сдох HDD, тут сам бакап должен быть недоступен шифровальщику. бакап на съемный носитель, когда носителей физически недоступных более 2-х, вещь конечно хорошая, но немного дороговата для большого количества народу. А бакап на локально подключенный usb диск или на подмонтированную шару, снимает проблему с пропаданием данных по большинству причин, но вот шифровальщик скорее всего их тоже пошифрует.

Backup на съёмный носитель ущербен по своей сути. ИМХО. Выдернули неудачно этот usb-диск и всё - нет на нём файловой системы, битая она.. и бэкапов тоже нет.

Только как один из промежуточных вариантов, для оперативного бэкапа часто меняющихся данных. С более редким бэкапом на сетевое хранилище.

Share this post


Link to post
Share on other sites

А бакап на локально подключенный usb диск или на подмонтированную шару, снимает проблему с пропаданием данных по большинству причин, но вот шифровальщик скорее всего их тоже пошифрует.

Хм. Надо попробовать фийловую систему UDF в DVD режиме на внешний финт поставить. По идее, в этом режиме данные принципиально не переписываются, а просто изменения дописываются в еще свободное место. Чтобы затереть такое, зловреду придется ходить мимо драйвера файловой системы, что должно легко ловиться.

 

Backup на съёмный носитель ущербен по своей сути. ИМХО. Выдернули неудачно этот usb-диск и всё - нет на нём файловой системы, битая она.. и бэкапов тоже нет.

Оно же от подобного сценария, возможно. помогает. В случае битости - ищется предыдущая версия карты файлов.

Только как один из промежуточных вариантов, для оперативного бэкапа часто меняющихся данных. С более редким бэкапом на сетевое хранилище.

А это - на соседний внутренний винт. Не подмотированный в систему - большая часть бакапного софта так умеет.

Share this post


Link to post
Share on other sites

Надо попробовать фийловую систему UDF в DVD режиме на внешний финт поставить

не проще что-то со снапшотами, ту же zfs?

Share this post


Link to post
Share on other sites
Но в дополнении нещадно наказывать любые попытки авторам вымогателя заплатить. Ибо нефиг. Не будут платить - не будет и большинства шифровальщиков.

Так будут заказывать конкуренты.

 

 

не проще что-то со снапшотами, ту же zfs?

Там и без того копи он врайт.

Share this post


Link to post
Share on other sites

Там и без того копи он врайт.

это про что? udf или zfs?

 

просто cow мало, нужен удобный доступ к прошлой версии файла

Share this post


Link to post
Share on other sites

не проще что-то со снапшотами, ту же zfs?

Потому что сценарий

если первое готовят мальчики на коленке, то, почему то, второе они не готовят. А те кто готовят второе, часто хотят больше денег, чем мальчики... а часто бывает вообще USB диск самый большой на сегодня по объему в соседнем лабазе и софт с него же и даже без мальчика... от "ой стер" и "ой диск помер" помогает... а вот от шифровальщика нет..

не предусматривал компьютер, который zfs умеет. Да и уж больно страшно-сложное оно. А UDF

(1) Есть из коробки в любой винде кроме самых древних

(2) задумывалась для использования в write-once режиме. Я не уверен, что про zfs можно сказать то же самое.

 

Там и без того копи он врайт.

Я не уверен, что это про то. Если просто скопировать, то да, копии не создается, новые блоки запишутся только когда в новый файл писать начнешь.

Но вот что оно делает, когда я файл открыл и в него же писать начинаю? Что-то мне кажется, что в отсутствии снапшота оно именно что в старые блоки файла все и запишет.

Share this post


Link to post
Share on other sites
Но вот что оно делает, когда я файл открыл и в него же писать начинаю? Что-то мне кажется, что в отсутствии снапшота оно именно что в старые блоки файла все и запишет.

В том то и беда что оно всегда пишет рядом. Когда транзакция заканчивается то оно пишет служебку что вот теперь есть новая версия файла.

Это защита от сбоев.

А заодно геморой когда тебе нужно гарантированно удалять данные с диска.

Share this post


Link to post
Share on other sites

В том то и беда что оно всегда пишет рядом. Когда транзакция заканчивается то оно пишет служебку что вот теперь есть новая версия файла.

<после кратковременного гугления>Ну, ок. Но ведь после этого то, что должны были переписать - оно в список свободных блоков добавляется и может быть заново использовано? Если снапшота не сделали, по которому старый вариант должен быть доступен?

 

А UDF в Write Once режиме этого не делает. Если уж записали - то так оно и лежит.

Share this post


Link to post
Share on other sites

Да и уж больно страшно-сложное оно.

гхм... интерфейс наружу там простой, внутри - честно скажу, не смотрел, но в данном случае можно рассматривать как чёрный ящик.

 

 

(2) задумывалась для использования в write-once режиме. Я не уверен, что про zfs можно сказать то же самое.

гхм. место на диске не бесконечное же, так или иначе хранить ВСЕ старые версии файлов не выйдет.

Share this post


Link to post
Share on other sites

(1) Есть из коробки в любой винде кроме самых древних

в винде сейчас тоже что-то есть в этом роде, деталей не помню, надо гуглить

Share this post


Link to post
Share on other sites

гхм. место на диске не бесконечное же, так или иначе хранить ВСЕ старые версии файлов не выйдет.

Так и не надо. Как место кончилось - положил на полочку и начал новый том на новом диске. Как тот кончился - этот снял с полки, отформатировал и начал заново.

Share this post


Link to post
Share on other sites

Как насчет варианта на компьютерах юзеров монтировать /home с noexec? От себя тогда они ничего принесенное "с собой" выполнить не смогут.

 

Не знаю, правда, есть ли в Windows подобная возможность.

Share this post


Link to post
Share on other sites
Ну, ок. Но ведь после этого то, что должны были переписать - оно в список свободных блоков добавляется и может быть заново использовано?

Да, но там видимо длинная fifo очередь.

 

Как насчет варианта на компьютерах юзеров монтировать /home с noexec? От себя тогда они ничего принесенное "с собой" выполнить не смогут.

Идея хорошая, но:

1. от скриптов и интерпретируемого это не защищает

2. ~/bin бывает используется

3. вайн, как же вайн!?

 

Не знаю, правда, есть ли в Windows подобная возможность.

Там есть механизм по круче: можно задать пути откуда можно/нельзя запускать, можно чёрные и белые хэши файлов, ну отдельно глобальный список расширений. Я как то включил полностью для профиля и ярлыки перестали работать, было не удобно, а про список расширений я тогда не знал, потому выключил и оставил запрет только для временных файлов и кешей браузеров, что добавляет неудобства ибо сразу из инета запустить ничего не получится - нужно в начале скачать в нормальную папку и потом уже запускать, но это хорошо.

А ещё раньше мс выкладывал тулсу в исходниках, она чистила ACL процесса, после чего прога не могла ничего на диск писать :)

Share this post


Link to post
Share on other sites
Там есть механизм по круче: можно задать пути откуда можно/нельзя запускать

Это вы про политики? Это не механизм, это самый примитивнейший костыль, который каждый дурак сможет сделать с таким же эффектом. Это просто записи в реестре. Кто хочет, тот их читает и им подчиняется. Не больше. На эти записи бывает даже сама Майкрософт забивает. Примитивнейший пример: можно запретить устанавливать сетевые принтеры пользователю. Угу. Но если пойти в Help, найти там "как установить сетевой принтер", ткнуть на ссылку и вуаля - всё работает.

Share this post


Link to post
Share on other sites
Там есть механизм по круче: можно задать пути откуда можно/нельзя запускать

Это вы про политики? Это не механизм, это самый примитивнейший костыль, который каждый дурак сможет сделать с таким же эффектом. Это просто записи в реестре. Кто хочет, тот их читает и им подчиняется. Не больше. На эти записи бывает даже сама Майкрософт забивает. Примитивнейший пример: можно запретить устанавливать сетевые принтеры пользователю. Угу. Но если пойти в Help, найти там "как установить сетевой принтер", ткнуть на ссылку и вуаля - всё работает.

Есть ещё ACL по правам доступа. Они наследуются - то есть на подкаталог может влиять тот который выше. И флажки: Read & Execute и Read - раздельные. Аналогично там есть прямой флажок запрета этого. Правда, скорее всего обходной механизм в стиле sh /home/user/script.sh найдётся.

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
Sign in to follow this