Code Spaces

Code Spaces era un servizio di ospitazione di sorgenti software e gestione progetti.

Un attacco ben coordinato ha distrutto il sito, i backup e l’azienda.

Quelli di Code Spaces non erano così sprovveduti come si potrebbe pensare perché avevano un sistema di backup in tempo reale che era stato testato. Avevano anche un sistema di ridondanza per garantire l’uptime, ma, come sanno i professionisti del settore, la ridondanza non ha nulla a che fare con i backup e, soprattutto, con i restore.

Secondo il sito, un malvivente avrebbe guadagnato l’accesso al pannello di controllo di EC2 e avrebbe lasciato dei messaggi in cui, sostanzialmente, chiedeva un riscatto in danaro.

Quando i legittimi proprietari del sito hanno cambiato le password di accesso al pannello è iniziata la fine: il malvivente aveva creato degli altri accessi di backup con i quali ha distrutto tutti i dati.

L’epilogo della vicenda è questo messaggio di Code Spaces:

Code Spaces will not be able to operate beyond this point, the cost of resolving this issue to date and the expected cost of refunding customers who have been left without the service they paid for will put Code Spaces in a irreversible position both financially and in terms of on going credibility.

As such at this point in time we have no alternative but to cease trading and concentrate on supporting our affected customers in exporting any remaining data they have left with us.

All that we can say at this point is how sorry we are to both our customers and to the people who make a living at Code Spaces for the chain of events that lead us here.

Questa storia insegna almeno tre cose.

La prima è che ci devono esistere sempre comunque e ad ogni costo dei backup offline. Sia per i problemi di ransomware sia per problemi di sicurezza, il modaiolo backup nel cloud o ogni altra forma di backup online non deve essere l’unica forma di copia, ce ne vuole una che viene realizzata in un dispositivo che normalmente è spento e sconnesso. La frequenza del backup offline dipende ovviamente dal rateo di modifica dei dati, dall’importanza di avere i dati aggiornati e dalle capacità. Ma un backup offline ci deve essere, fosse anche su una chiavetta USB. Avete un PC inutilizzato? Ficcategli su dei dischi, montare Openfiler o FreeNAS, fateci i backup una volta ogni tanto e tenete il PC normalmente spento. No, non una macchina virtuale, un PC fisico!

La seconda lezione è che l’accesso a ogni servizio chiave per la continuità del business deve avvenire attraverso l’autenticazione a due fattori. Da sola non serve a proteggere dagli accessi non autorizzati, ma rende la vita difficile all’attaccante e magari permette di prendere contromisure. La password complessa di un panello di amministrazione non serve a nulla se il recupero password dimenticata avviene su un account mail con connessione non crittografata e “pippo123” come password di accesso.

Ultima ma non ultima lezione è che in caso di estorsione va sempre coinvolta la forza di polizia preposta per la lotta a questi crimini. Le forze di polizia hanno oramai una rete internazionale che le interconnette e in questi casi possono agire molto più velocemente degli utenti normali. Chi porta questo tipo di attacchi non è più il ragazzino asociale, ma è una rete internazionali di criminali organizzati.