Robot_NagNews Posted July 17, 2017 Posted July 17, 2017 Материал: “Вирусная атака, равной которой ещё не было, захватила весь мир”, - удивительно, но мы даже особо удивляться таким новостям перестали. Полный текст Вставить ник Quote
Sergey Gilfanov Posted July 17, 2017 Posted July 17, 2017 Защиту от шифровальщиков надо делать с другой стороны - считать зашифрованные данные уже утраченными и бороться с подобным этим вместе с другими способами все потерять. Не только же зловреды к утере данных приводят. Но в дополнении нещадно наказывать любые попытки авторам вымогателя заплатить. Ибо нефиг. Не будут платить - не будет и большинства шифровальщиков. Вставить ник Quote
SpheriX Posted July 17, 2017 Posted July 17, 2017 Не будут платить - не будет и большинства шифровальщиков. Борьба с изнасилованиями превентивной кастрацией. Вставить ник Quote
st_re Posted July 17, 2017 Posted July 17, 2017 Защиту от шифровальщиков надо делать с другой стороны - считать зашифрованные данные уже утраченными и бороться с подобным этим вместе с другими способами все потерять. Не только же зловреды к утере данных приводят. Ну в отличии от сдох HDD, тут сам бакап должен быть недоступен шифровальщику. бакап на съемный носитель, когда носителей физически недоступных более 2-х, вещь конечно хорошая, но немного дороговата для большого количества народу. А бакап на локально подключенный usb диск или на подмонтированную шару, снимает проблему с пропаданием данных по большинству причин, но вот шифровальщик скорее всего их тоже пошифрует. Вставить ник Quote
Sergey Gilfanov Posted July 17, 2017 Posted July 17, 2017 Борьба с изнасилованиями превентивной кастрацией. Не понял логики. А бакап на локально подключенный usb диск или на подмонтированную шару, снимает проблему с пропаданием данных по большинству причин, но вот шифровальщик скорее всего их тоже пошифрует. Направление выделенного неправильное. Нужно не класть бакап на удаленный копьютер, дав доступ к нему на запись. А удаленный компьютер должен забрать данные для бакапа со специально предназначенной для этого службы на локальном. Которая служба по дизайну read-only. Вставить ник Quote
st_re Posted July 17, 2017 Posted July 17, 2017 что сразу удорожает систему бакапа в разы :) Вставить ник Quote
Sergey Gilfanov Posted July 17, 2017 Posted July 17, 2017 что сразу удорожает систему бакапа в разы :) Да разве? В простейшем случае в любом случае есть две железки. Тут ничего не меняется. Теперь на том компе, который бакапится, делаем ту самую шару. В read-only режиме и доступом только одному специальному пользователю. А бакап сервер тупо их на себя копирует. Вставить ник Quote
st_re Posted July 17, 2017 Posted July 17, 2017 если первое готовят мальчики на коленке, то, почему то, второе они не готовят. А те кто готовят второе, часто хотят больше денег, чем мальчики... а часто бывает вообще USB диск самый большой на сегодня по объему в соседнем лабазе и софт с него же и даже без мальчика... от "ой стер" и "ой диск помер" помогает... а вот от шифровальщика нет.. ну и не забываем что петя с ванакраем лазят через ваши права по соседям и в дыру тоже лазят.. если на втором серервере тоже винда, то надо, чтобы ваших прав туда попасть не хватало, и патчи стояли... Вставить ник Quote
Sergey Gilfanov Posted July 17, 2017 Posted July 17, 2017 ну и не забываем что петя с ванакраем лазят через ваши права по соседям и в дыру тоже лазят.. если на втором серервере тоже винда, то надо, чтобы ваших прав туда попасть не хватало, и патчи стояли... Именно поэтому нужно, чтобы бакап сервер забирал данные, а не на него складывали. Если он просто забирает - то он может вообще сеть не слушать или его можно намертво файрволлом прикрыть. Если же мы пытаемся складывать - то так, увы, не получится. Ну и, разумеется, от виндовых шар придется отказаться и писать таки бакап-демона для компов. Виндовые шары не очень хорошо работают, когда сеть отфильтрована. Вставить ник Quote
fhunter Posted July 17, 2017 Posted July 17, 2017 Ну в отличии от сдох HDD, тут сам бакап должен быть недоступен шифровальщику. бакап на съемный носитель, когда носителей физически недоступных более 2-х, вещь конечно хорошая, но немного дороговата для большого количества народу. А бакап на локально подключенный usb диск или на подмонтированную шару, снимает проблему с пропаданием данных по большинству причин, но вот шифровальщик скорее всего их тоже пошифрует. Backup на съёмный носитель ущербен по своей сути. ИМХО. Выдернули неудачно этот usb-диск и всё - нет на нём файловой системы, битая она.. и бэкапов тоже нет. Только как один из промежуточных вариантов, для оперативного бэкапа часто меняющихся данных. С более редким бэкапом на сетевое хранилище. Вставить ник Quote
Sergey Gilfanov Posted July 17, 2017 Posted July 17, 2017 А бакап на локально подключенный usb диск или на подмонтированную шару, снимает проблему с пропаданием данных по большинству причин, но вот шифровальщик скорее всего их тоже пошифрует. Хм. Надо попробовать фийловую систему UDF в DVD режиме на внешний финт поставить. По идее, в этом режиме данные принципиально не переписываются, а просто изменения дописываются в еще свободное место. Чтобы затереть такое, зловреду придется ходить мимо драйвера файловой системы, что должно легко ловиться. Backup на съёмный носитель ущербен по своей сути. ИМХО. Выдернули неудачно этот usb-диск и всё - нет на нём файловой системы, битая она.. и бэкапов тоже нет. Оно же от подобного сценария, возможно. помогает. В случае битости - ищется предыдущая версия карты файлов. Только как один из промежуточных вариантов, для оперативного бэкапа часто меняющихся данных. С более редким бэкапом на сетевое хранилище. А это - на соседний внутренний винт. Не подмотированный в систему - большая часть бакапного софта так умеет. Вставить ник Quote
edo Posted July 17, 2017 Posted July 17, 2017 Надо попробовать фийловую систему UDF в DVD режиме на внешний финт поставить не проще что-то со снапшотами, ту же zfs? Вставить ник Quote
Ivan_83 Posted July 17, 2017 Posted July 17, 2017 Но в дополнении нещадно наказывать любые попытки авторам вымогателя заплатить. Ибо нефиг. Не будут платить - не будет и большинства шифровальщиков. Так будут заказывать конкуренты. не проще что-то со снапшотами, ту же zfs? Там и без того копи он врайт. Вставить ник Quote
edo Posted July 17, 2017 Posted July 17, 2017 Там и без того копи он врайт. это про что? udf или zfs? просто cow мало, нужен удобный доступ к прошлой версии файла Вставить ник Quote
Sergey Gilfanov Posted July 18, 2017 Posted July 18, 2017 не проще что-то со снапшотами, ту же zfs? Потому что сценарий если первое готовят мальчики на коленке, то, почему то, второе они не готовят. А те кто готовят второе, часто хотят больше денег, чем мальчики... а часто бывает вообще USB диск самый большой на сегодня по объему в соседнем лабазе и софт с него же и даже без мальчика... от "ой стер" и "ой диск помер" помогает... а вот от шифровальщика нет.. не предусматривал компьютер, который zfs умеет. Да и уж больно страшно-сложное оно. А UDF (1) Есть из коробки в любой винде кроме самых древних (2) задумывалась для использования в write-once режиме. Я не уверен, что про zfs можно сказать то же самое. Там и без того копи он врайт. Я не уверен, что это про то. Если просто скопировать, то да, копии не создается, новые блоки запишутся только когда в новый файл писать начнешь. Но вот что оно делает, когда я файл открыл и в него же писать начинаю? Что-то мне кажется, что в отсутствии снапшота оно именно что в старые блоки файла все и запишет. Вставить ник Quote
Ivan_83 Posted July 18, 2017 Posted July 18, 2017 Но вот что оно делает, когда я файл открыл и в него же писать начинаю? Что-то мне кажется, что в отсутствии снапшота оно именно что в старые блоки файла все и запишет. В том то и беда что оно всегда пишет рядом. Когда транзакция заканчивается то оно пишет служебку что вот теперь есть новая версия файла. Это защита от сбоев. А заодно геморой когда тебе нужно гарантированно удалять данные с диска. Вставить ник Quote
Sergey Gilfanov Posted July 18, 2017 Posted July 18, 2017 В том то и беда что оно всегда пишет рядом. Когда транзакция заканчивается то оно пишет служебку что вот теперь есть новая версия файла. <после кратковременного гугления>Ну, ок. Но ведь после этого то, что должны были переписать - оно в список свободных блоков добавляется и может быть заново использовано? Если снапшота не сделали, по которому старый вариант должен быть доступен? А UDF в Write Once режиме этого не делает. Если уж записали - то так оно и лежит. Вставить ник Quote
edo Posted July 18, 2017 Posted July 18, 2017 Да и уж больно страшно-сложное оно. гхм... интерфейс наружу там простой, внутри - честно скажу, не смотрел, но в данном случае можно рассматривать как чёрный ящик. (2) задумывалась для использования в write-once режиме. Я не уверен, что про zfs можно сказать то же самое. гхм. место на диске не бесконечное же, так или иначе хранить ВСЕ старые версии файлов не выйдет. Вставить ник Quote
edo Posted July 18, 2017 Posted July 18, 2017 (1) Есть из коробки в любой винде кроме самых древних в винде сейчас тоже что-то есть в этом роде, деталей не помню, надо гуглить Вставить ник Quote
Sergey Gilfanov Posted July 18, 2017 Posted July 18, 2017 гхм. место на диске не бесконечное же, так или иначе хранить ВСЕ старые версии файлов не выйдет. Так и не надо. Как место кончилось - положил на полочку и начал новый том на новом диске. Как тот кончился - этот снял с полки, отформатировал и начал заново. Вставить ник Quote
IPaddress.ru Posted July 18, 2017 Posted July 18, 2017 Как насчет варианта на компьютерах юзеров монтировать /home с noexec? От себя тогда они ничего принесенное "с собой" выполнить не смогут. Не знаю, правда, есть ли в Windows подобная возможность. Вставить ник Quote
Ivan_83 Posted July 18, 2017 Posted July 18, 2017 Ну, ок. Но ведь после этого то, что должны были переписать - оно в список свободных блоков добавляется и может быть заново использовано? Да, но там видимо длинная fifo очередь. Как насчет варианта на компьютерах юзеров монтировать /home с noexec? От себя тогда они ничего принесенное "с собой" выполнить не смогут. Идея хорошая, но: 1. от скриптов и интерпретируемого это не защищает 2. ~/bin бывает используется 3. вайн, как же вайн!? Не знаю, правда, есть ли в Windows подобная возможность. Там есть механизм по круче: можно задать пути откуда можно/нельзя запускать, можно чёрные и белые хэши файлов, ну отдельно глобальный список расширений. Я как то включил полностью для профиля и ярлыки перестали работать, было не удобно, а про список расширений я тогда не знал, потому выключил и оставил запрет только для временных файлов и кешей браузеров, что добавляет неудобства ибо сразу из инета запустить ничего не получится - нужно в начале скачать в нормальную папку и потом уже запускать, но это хорошо. А ещё раньше мс выкладывал тулсу в исходниках, она чистила ACL процесса, после чего прога не могла ничего на диск писать :) Вставить ник Quote
vodz Posted July 19, 2017 Posted July 19, 2017 Там есть механизм по круче: можно задать пути откуда можно/нельзя запускать Это вы про политики? Это не механизм, это самый примитивнейший костыль, который каждый дурак сможет сделать с таким же эффектом. Это просто записи в реестре. Кто хочет, тот их читает и им подчиняется. Не больше. На эти записи бывает даже сама Майкрософт забивает. Примитивнейший пример: можно запретить устанавливать сетевые принтеры пользователю. Угу. Но если пойти в Help, найти там "как установить сетевой принтер", ткнуть на ссылку и вуаля - всё работает. Вставить ник Quote
fhunter Posted July 19, 2017 Posted July 19, 2017 Там есть механизм по круче: можно задать пути откуда можно/нельзя запускать Это вы про политики? Это не механизм, это самый примитивнейший костыль, который каждый дурак сможет сделать с таким же эффектом. Это просто записи в реестре. Кто хочет, тот их читает и им подчиняется. Не больше. На эти записи бывает даже сама Майкрософт забивает. Примитивнейший пример: можно запретить устанавливать сетевые принтеры пользователю. Угу. Но если пойти в Help, найти там "как установить сетевой принтер", ткнуть на ссылку и вуаля - всё работает. Есть ещё ACL по правам доступа. Они наследуются - то есть на подкаталог может влиять тот который выше. И флажки: Read & Execute и Read - раздельные. Аналогично там есть прямой флажок запрета этого. Правда, скорее всего обходной механизм в стиле sh /home/user/script.sh найдётся. Вставить ник Quote
sfstudio Posted July 19, 2017 Posted July 19, 2017 А чего ещё никто не сказал, что вантузятнеги должны страдать по определению? =)))) ИМХО всё верно. вайн, как же вайн!? Он сейчас чаще вантузятнегам и нужен что бы старые гамезы в новых версиях дырОС запускать. Там есть механизм по круче: Да хоть 100500 механизмов мегакрутых, но когда у тебя за столом прослойка с привилегиями 0 (ну а как иначе, ведь половина софта не работает без этого), или когда дыра удалённая на уровне ядра (SMB такой SMB) хоть золотыми механизмами обвещайся. А дыры так везде их регулярно находят. Вопрос в геморройности эксплуатации. А когда у тебя настУльная ушастая прослойка сама тебе все права предоставляет.... =) Защиту от шифровальщиков надо делать с другой стороны Прально, со стороны внедрения терморектального криптоанализа как юзверям, так и тем товарищам, что додумался чёрный ящик недоступный для аудита, славящийся своей дырявостью и завирусованностью на ответственные задачи ставить. Вставить ник Quote
.png.5d2afa2996cc6a85d0f2c09b92dd0a28.png)
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.