Siamo in un periodo in cui parte del malware è scritto con la finalità di bloccare i file di dati per poi chiedere un riscatto (ransomware).
In questo momento il ransomware è diffuso in ambiente Windows, ma presumere di essere immuni solo per il fatto di non utilizzare Windows è da sprovveduti.
Ci sono delle strategie di backup semplici da attuare che permettono di mettersi relativamente al sicuro in caso di attacchi di questo tipo ed evitare disastri.
Avevamo già trattato questo argomento, ma in modo più generale.
Innanzi tutto, come agisce un ransomware? Un software di questo tipo viene attivato involontariamente dall’utente aprendo, ad esempio, un allegato di una mail creata ad arte per ingannare l’utente. Una volta avviato, il software inizia a cifrare i dati locali e i file di dati che trova nelle connessioni di rete accessibili.
Quindi i file attaccati dal malware devono essere accessibili dall’utente che ha eseguito il malware e, se si trovano su condivisioni di rete, queste devono essere mappate in quel momento oppure devono essere enumerabili e accessibili in scrittura dall’utente.
Di seguito vengono elencate alcune possibili strategie di backup. Le informazioni vengono fornite a titolo di esempio, senza alcuna responsabilità da parte di chi le fornisce. La responsabilità della tutela dell’integrità dei dati è a carico dell’utente o del responsabile designato a norma di legge.
Soluzione semplice ed efficace: backup offline.
Il backup offline consiste nel salvare i dati in un dispositivo di memorizzazione che viene connesso al computer solamente per il periodo di copia dei dati e viene conservato normalmente spento in un luogo sicuro.
Tipico esempio è la chiavetta o il disco USB che viene connesso ad un computer, viene eseguito il backup e viene staccato alla fine delle operazioni. Ma potrebbe essere anche un NAS che viene acceso solamente nelle fasi del backup.
La procedura per eseguire un backup di questo tipo è necessariamente manuale e non può essere automatizzata. Alcuni software come Veeam Endpoint Backup Free, che è uscito dalla fase beta ed è ora full release, possono essere configurati per avviarsi nel momento in cui viene connesso il dispositivo che contiene il backup.
È consigliabile avere almeno due copie del backup su due diversi dispositivi e ruotare i dispositivi utilizzati.
Pro:
- soluzione semplice;
- backup eseguiti nel momento in cui decide l’utente, che sceglie di copiare i dati nei momenti più opportuni;
Contro:
- soluzione non automatizzabile, l’utente si deve ricordare di fare il backup e deve aver voglia di farlo;
- se eseguita con troppa frequenza o se non c’è un’adeguata rotazione, in caso di attacco di un ransomware si rischia di copiare i dati cifrati e sovrascrivere i dati in chiaro.
Soluzione un po’ più tecnologica: NAS con condivisione protetta
Ovviamente per questa soluzione serve un NAS. Ce ne sono di molti modelli tra cui scegliere; esistono anche distribuzioni gratuite (OpenMediaVault, FreeNAS) che convertono un PC in un NAS. L’importante è che il NAS possa condividere delle cartelle a mezzo SMB/CIFS (il protocollo di condivisione dei file di Windows) e si possa limitare l’accesso alle cartelle attraverso una coppia login/password.
Approntare su uno o più NAS una o più cartelle condivise il cui accesso avviene solamente dietro presentazione di login e password che non vengono salvate sul computer (ci torneremo poi). Opzionalmente si può rendere la condivisione nascosta, ma non consideratela una forma di sicurezza.
Nel computer da salvare si può installare un software di backup che consente di salvare le credenziali dei dischi di rete nel profilo del backup da eseguire; il già citato Veeam Endpoint Backup Free ha questa possibilità, ma non è l’unico.
Un’alternativa un po’ meno sicura è quella di creare uno script (file batch) che mappi la condivisione attraverso il comando NET USE a cui viene passata la password sulla riga di comando. In questo caso le credenziali saranno registrate in chiaro su un file di testo presente sul computer da salvare.
Per verificare che Windows non disponga delle credenziali di accesso ad una condivisione riavviare il sistema e tentare di accedere alla condivisione stessa. Se Windows riesce ad accedere, andare nel Pannello di Controllo, aprire Gestione Credenziali (Crtedentials Manager) e cancellare le credenziali di accesso al NAS. Se non c’è la Gestione Credenziali nel Pannello di Controllo utilizzare questa riga di comando per richiamare l’elenco delle credenziali salvate:
rundll32.exe keymgr.dll, KRShowKeyMgr
Pro:
- i backup avvengono in modo automatico, purché i dispositivi siano accesi;
- se vengono utilizzati software di backup, la reportistica potrebbe aiutare l’utente non esperto.
Contro:
- è necessario un NAS;
- un utente non esperto potrebbe lasciare dei buchi di sicurezza sul NAS.
Backup online
Questo metodo dipende moltissimo dal servizio di backup utilizzato e, quindi, dal software che esegue il backup.
Vista la varietà di offerte, è molto difficile compiere analisi in merito a questi tipi di backup.
Altri metodi
Alcuni utenti, specialmente quelli smanettoni, hanno altri metodi per fare i backup. Non esiste il metodo migliore di tutti, in linea di massima qualsiasi metodo va bene, purché si possano recuperare i dati in caso di perdita totale del computer da salvare.
Se ci si vuole cautelare da attacchi tipo CryptoLocker, ma anche da altre nefandezze simili, il concetto di base è di avere, oltre al backup solito, anche un backup offline fatto magari con tempi più rilassati.
In conclusione
Qualsiasi sia il metodo scelto, l’importante è che sia relativamente semplice ripristinare i dati salvati. Va, infatti, ricordato che l’unico vero scopo del backup è quello di poter eseguire con successo un ripristino.
Una buona idea è scrivere su un foglio di carta le credenziali che vengono utilizzate ed eventuali software di backup che vengono usati per eseguire le copie. In questo modo in caso di problemi un tecnico potrà assistervi in maniera più efficace.
Altra buona regola è quella di salvare su ciascun supporto utilizzato l’eventuale file ISO di ripristino creato dal software di backup, una copia del software medesimo e le eventuali chiavi di attivazione.
Da ultimo ricordatevi ogni tanto di provare il backup eseguendo il ripristino di un file qualsiasi e verificando che il file sia integro.
Lascia un commento