Перейти к содержимому
Калькуляторы

Ваня, Петя и другие - не страшнее гриппа

Материал:

“Вирусная атака, равной которой ещё не было, захватила весь мир”, - удивительно, но мы даже особо удивляться таким новостям перестали.

 

Полный текст

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Защиту от шифровальщиков надо делать с другой стороны - считать зашифрованные данные уже утраченными и бороться с подобным этим вместе с другими способами все потерять. Не только же зловреды к утере данных приводят.

Но в дополнении нещадно наказывать любые попытки авторам вымогателя заплатить. Ибо нефиг. Не будут платить - не будет и большинства шифровальщиков.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Не будут платить - не будет и большинства шифровальщиков.

Борьба с изнасилованиями превентивной кастрацией.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Защиту от шифровальщиков надо делать с другой стороны - считать зашифрованные данные уже утраченными и бороться с подобным этим вместе с другими способами все потерять. Не только же зловреды к утере данных приводят.

 

Ну в отличии от сдох HDD, тут сам бакап должен быть недоступен шифровальщику. бакап на съемный носитель, когда носителей физически недоступных более 2-х, вещь конечно хорошая, но немного дороговата для большого количества народу. А бакап на локально подключенный usb диск или на подмонтированную шару, снимает проблему с пропаданием данных по большинству причин, но вот шифровальщик скорее всего их тоже пошифрует.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Борьба с изнасилованиями превентивной кастрацией.

Не понял логики.

 

А бакап на локально подключенный usb диск или на подмонтированную шару, снимает проблему с пропаданием данных по большинству причин, но вот шифровальщик скорее всего их тоже пошифрует.

Направление выделенного неправильное. Нужно не класть бакап на удаленный копьютер, дав доступ к нему на запись. А удаленный компьютер должен забрать данные для бакапа со специально предназначенной для этого службы на локальном. Которая служба по дизайну read-only.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

что сразу удорожает систему бакапа в разы :)

Да разве? В простейшем случае в любом случае есть две железки. Тут ничего не меняется.

Теперь на том компе, который бакапится, делаем ту самую шару. В read-only режиме и доступом только одному специальному пользователю. А бакап сервер тупо их на себя копирует.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

если первое готовят мальчики на коленке, то, почему то, второе они не готовят. А те кто готовят второе, часто хотят больше денег, чем мальчики... а часто бывает вообще USB диск самый большой на сегодня по объему в соседнем лабазе и софт с него же и даже без мальчика... от "ой стер" и "ой диск помер" помогает... а вот от шифровальщика нет..

 

ну и не забываем что петя с ванакраем лазят через ваши права по соседям и в дыру тоже лазят.. если на втором серервере тоже винда, то надо, чтобы ваших прав туда попасть не хватало, и патчи стояли...

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

ну и не забываем что петя с ванакраем лазят через ваши права по соседям и в дыру тоже лазят.. если на втором серервере тоже винда, то надо, чтобы ваших прав туда попасть не хватало, и патчи стояли...

Именно поэтому нужно, чтобы бакап сервер забирал данные, а не на него складывали. Если он просто забирает - то он может вообще сеть не слушать или его можно намертво файрволлом прикрыть. Если же мы пытаемся складывать - то так, увы, не получится. Ну и, разумеется, от виндовых шар придется отказаться и писать таки бакап-демона для компов. Виндовые шары не очень хорошо работают, когда сеть отфильтрована.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Ну в отличии от сдох HDD, тут сам бакап должен быть недоступен шифровальщику. бакап на съемный носитель, когда носителей физически недоступных более 2-х, вещь конечно хорошая, но немного дороговата для большого количества народу. А бакап на локально подключенный usb диск или на подмонтированную шару, снимает проблему с пропаданием данных по большинству причин, но вот шифровальщик скорее всего их тоже пошифрует.

Backup на съёмный носитель ущербен по своей сути. ИМХО. Выдернули неудачно этот usb-диск и всё - нет на нём файловой системы, битая она.. и бэкапов тоже нет.

Только как один из промежуточных вариантов, для оперативного бэкапа часто меняющихся данных. С более редким бэкапом на сетевое хранилище.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

А бакап на локально подключенный usb диск или на подмонтированную шару, снимает проблему с пропаданием данных по большинству причин, но вот шифровальщик скорее всего их тоже пошифрует.

Хм. Надо попробовать фийловую систему UDF в DVD режиме на внешний финт поставить. По идее, в этом режиме данные принципиально не переписываются, а просто изменения дописываются в еще свободное место. Чтобы затереть такое, зловреду придется ходить мимо драйвера файловой системы, что должно легко ловиться.

 

Backup на съёмный носитель ущербен по своей сути. ИМХО. Выдернули неудачно этот usb-диск и всё - нет на нём файловой системы, битая она.. и бэкапов тоже нет.

Оно же от подобного сценария, возможно. помогает. В случае битости - ищется предыдущая версия карты файлов.

Только как один из промежуточных вариантов, для оперативного бэкапа часто меняющихся данных. С более редким бэкапом на сетевое хранилище.

А это - на соседний внутренний винт. Не подмотированный в систему - большая часть бакапного софта так умеет.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Надо попробовать фийловую систему UDF в DVD режиме на внешний финт поставить

не проще что-то со снапшотами, ту же zfs?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Но в дополнении нещадно наказывать любые попытки авторам вымогателя заплатить. Ибо нефиг. Не будут платить - не будет и большинства шифровальщиков.

Так будут заказывать конкуренты.

 

 

не проще что-то со снапшотами, ту же zfs?

Там и без того копи он врайт.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Там и без того копи он врайт.

это про что? udf или zfs?

 

просто cow мало, нужен удобный доступ к прошлой версии файла

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

не проще что-то со снапшотами, ту же zfs?

Потому что сценарий

если первое готовят мальчики на коленке, то, почему то, второе они не готовят. А те кто готовят второе, часто хотят больше денег, чем мальчики... а часто бывает вообще USB диск самый большой на сегодня по объему в соседнем лабазе и софт с него же и даже без мальчика... от "ой стер" и "ой диск помер" помогает... а вот от шифровальщика нет..

не предусматривал компьютер, который zfs умеет. Да и уж больно страшно-сложное оно. А UDF

(1) Есть из коробки в любой винде кроме самых древних

(2) задумывалась для использования в write-once режиме. Я не уверен, что про zfs можно сказать то же самое.

 

Там и без того копи он врайт.

Я не уверен, что это про то. Если просто скопировать, то да, копии не создается, новые блоки запишутся только когда в новый файл писать начнешь.

Но вот что оно делает, когда я файл открыл и в него же писать начинаю? Что-то мне кажется, что в отсутствии снапшота оно именно что в старые блоки файла все и запишет.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Но вот что оно делает, когда я файл открыл и в него же писать начинаю? Что-то мне кажется, что в отсутствии снапшота оно именно что в старые блоки файла все и запишет.

В том то и беда что оно всегда пишет рядом. Когда транзакция заканчивается то оно пишет служебку что вот теперь есть новая версия файла.

Это защита от сбоев.

А заодно геморой когда тебе нужно гарантированно удалять данные с диска.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

В том то и беда что оно всегда пишет рядом. Когда транзакция заканчивается то оно пишет служебку что вот теперь есть новая версия файла.

<после кратковременного гугления>Ну, ок. Но ведь после этого то, что должны были переписать - оно в список свободных блоков добавляется и может быть заново использовано? Если снапшота не сделали, по которому старый вариант должен быть доступен?

 

А UDF в Write Once режиме этого не делает. Если уж записали - то так оно и лежит.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Да и уж больно страшно-сложное оно.

гхм... интерфейс наружу там простой, внутри - честно скажу, не смотрел, но в данном случае можно рассматривать как чёрный ящик.

 

 

(2) задумывалась для использования в write-once режиме. Я не уверен, что про zfs можно сказать то же самое.

гхм. место на диске не бесконечное же, так или иначе хранить ВСЕ старые версии файлов не выйдет.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

(1) Есть из коробки в любой винде кроме самых древних

в винде сейчас тоже что-то есть в этом роде, деталей не помню, надо гуглить

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

гхм. место на диске не бесконечное же, так или иначе хранить ВСЕ старые версии файлов не выйдет.

Так и не надо. Как место кончилось - положил на полочку и начал новый том на новом диске. Как тот кончился - этот снял с полки, отформатировал и начал заново.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Как насчет варианта на компьютерах юзеров монтировать /home с noexec? От себя тогда они ничего принесенное "с собой" выполнить не смогут.

 

Не знаю, правда, есть ли в Windows подобная возможность.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Ну, ок. Но ведь после этого то, что должны были переписать - оно в список свободных блоков добавляется и может быть заново использовано?

Да, но там видимо длинная fifo очередь.

 

Как насчет варианта на компьютерах юзеров монтировать /home с noexec? От себя тогда они ничего принесенное "с собой" выполнить не смогут.

Идея хорошая, но:

1. от скриптов и интерпретируемого это не защищает

2. ~/bin бывает используется

3. вайн, как же вайн!?

 

Не знаю, правда, есть ли в Windows подобная возможность.

Там есть механизм по круче: можно задать пути откуда можно/нельзя запускать, можно чёрные и белые хэши файлов, ну отдельно глобальный список расширений. Я как то включил полностью для профиля и ярлыки перестали работать, было не удобно, а про список расширений я тогда не знал, потому выключил и оставил запрет только для временных файлов и кешей браузеров, что добавляет неудобства ибо сразу из инета запустить ничего не получится - нужно в начале скачать в нормальную папку и потом уже запускать, но это хорошо.

А ещё раньше мс выкладывал тулсу в исходниках, она чистила ACL процесса, после чего прога не могла ничего на диск писать :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Там есть механизм по круче: можно задать пути откуда можно/нельзя запускать

Это вы про политики? Это не механизм, это самый примитивнейший костыль, который каждый дурак сможет сделать с таким же эффектом. Это просто записи в реестре. Кто хочет, тот их читает и им подчиняется. Не больше. На эти записи бывает даже сама Майкрософт забивает. Примитивнейший пример: можно запретить устанавливать сетевые принтеры пользователю. Угу. Но если пойти в Help, найти там "как установить сетевой принтер", ткнуть на ссылку и вуаля - всё работает.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Там есть механизм по круче: можно задать пути откуда можно/нельзя запускать

Это вы про политики? Это не механизм, это самый примитивнейший костыль, который каждый дурак сможет сделать с таким же эффектом. Это просто записи в реестре. Кто хочет, тот их читает и им подчиняется. Не больше. На эти записи бывает даже сама Майкрософт забивает. Примитивнейший пример: можно запретить устанавливать сетевые принтеры пользователю. Угу. Но если пойти в Help, найти там "как установить сетевой принтер", ткнуть на ссылку и вуаля - всё работает.

Есть ещё ACL по правам доступа. Они наследуются - то есть на подкаталог может влиять тот который выше. И флажки: Read & Execute и Read - раздельные. Аналогично там есть прямой флажок запрета этого. Правда, скорее всего обходной механизм в стиле sh /home/user/script.sh найдётся.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

А чего ещё никто не сказал, что вантузятнеги должны страдать по определению? =)))) ИМХО всё верно.

 

вайн, как же вайн!?

 

Он сейчас чаще вантузятнегам и нужен что бы старые гамезы в новых версиях дырОС запускать.

 

Там есть механизм по круче:

Да хоть 100500 механизмов мегакрутых, но когда у тебя за столом прослойка с привилегиями 0 (ну а как иначе, ведь половина софта не работает без этого), или когда дыра удалённая на уровне ядра (SMB такой SMB) хоть золотыми механизмами обвещайся.

 

А дыры так везде их регулярно находят. Вопрос в геморройности эксплуатации. А когда у тебя настУльная ушастая прослойка сама тебе все права предоставляет.... =)

 

Защиту от шифровальщиков надо делать с другой стороны

 

Прально, со стороны внедрения терморектального криптоанализа как юзверям, так и тем товарищам, что додумался чёрный ящик недоступный для аудита, славящийся своей дырявостью и завирусованностью на ответственные задачи ставить.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Гость
Ответить в тему...

×   Вставлено в виде отформатированного текста.   Вставить в виде обычного текста

  Разрешено не более 75 смайлов.

×   Ваша ссылка была автоматически встроена.   Отобразить как ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставить изображения напрямую. Загрузите или вставьте изображения по ссылке.