SEGURAN?A DA INFORMA?ÃO
Boa noite pessoal,
2 clientes grandes meus foram atacados por um novo ransonware e ambos não tinha backup, após horas escovando bits e reescrevendo hexadecimais de banco de dados corrompido que consegui extrair com o R-Studio fiquei pensando o seguinte.
Implementar o algoritimo de Rijndael no momento de um backup pra nuvem e colocar uma extensão própria pra encryptar no algoritimo ( ja fiz ), o ransomware não irá conseguir dar crypt no arquivo do banco pois não reconhecerá a extensão nem seus dados válidos.
Implementei isso em um dos clientes que foram afetados e funcionou muito bem, gerei a chave propria pro cliente e somente ele com a chave consegue decriptar.
a dúvida é:
Faço isso em todos os clientes por precaução? lembrando que o cliente não precisará fazer nada além da rotina de backup pois o sistema ja reconhece o arquivo encrypt e na hora de passar o backup pra dentro ele decrypta analisando a key ( um AES-256 )
estou pensando tmb em partilhas aqui pra vcs todo o algoritimo com interface.. mas é algo que daria pra usar pra fazer estrago...
2 clientes grandes meus foram atacados por um novo ransonware e ambos não tinha backup, após horas escovando bits e reescrevendo hexadecimais de banco de dados corrompido que consegui extrair com o R-Studio fiquei pensando o seguinte.
Implementar o algoritimo de Rijndael no momento de um backup pra nuvem e colocar uma extensão própria pra encryptar no algoritimo ( ja fiz ), o ransomware não irá conseguir dar crypt no arquivo do banco pois não reconhecerá a extensão nem seus dados válidos.
Implementei isso em um dos clientes que foram afetados e funcionou muito bem, gerei a chave propria pro cliente e somente ele com a chave consegue decriptar.
a dúvida é:
Faço isso em todos os clientes por precaução? lembrando que o cliente não precisará fazer nada além da rotina de backup pois o sistema ja reconhece o arquivo encrypt e na hora de passar o backup pra dentro ele decrypta analisando a key ( um AES-256 )
estou pensando tmb em partilhas aqui pra vcs todo o algoritimo com interface.. mas é algo que daria pra usar pra fazer estrago...
Essa é uma das muitas razões que não gosto de compartilhar código fonte prontinho, ainda mais com esse teor. Não é raro vermos aqui no fórum mesmo e em vários outros, um [Ô]paraquedista[Ô], nunca postou nada, os primeiros posts do cara são [Ô]Como encriptar dados?[Ô], [Ô]Modificar chaves de registro, é possÃvel?[Ô] e muitas outras que podem se transformar em ransomware. Não são programadores, não têm interesse algum por programar, só querem o código pronto para sair espalhando e causando estragos, muitas vezes, visando extorquir pessoas. Então é inútil gastar tempo tentando ajudar pessoas assim, eles não querem aprender, não estão nem um pouco interessados nisso, só querem a [Ô]bomba[Ô] deles prontinha. Por isso, não gosto nem um pouco de ficar compartilhando código fonte, essa é apenas uma das razões. Existem muitas outras que geraria algumas horas de conversa, mas ajudar esses pilantras é a última coisa que quero fazer. Sei que não é o caso da maioria aqui, aliás, quase todos. São legitimamente pessoas tentando evoluir, serem melhores profissionais, esses, faço questão de ajudar, não necessariamente dar código pronto, mas orientar, mostrar como fazer. E essa é outra das razões de não gostar de postar código. Acaba mais atrapalhando que ajudando, pois bastam pequenas adaptações e terão o resultado desejado, mas não serão capazes de reproduzir o que estão vendo e o objetivo principal de aprender é esse, a pessoa conseguir pelas próprias mãos fazer o que deseja/precisa. Se quiser postar seu código, sem problemas, mas não vejo nenhuma necessidade, ao invés disso, Explique o que fez, mostre etapas, processos e o que usou, não simplesmente código. Claro, é só uma sugestão.
Complementando: Segurança é como seguro. é melhor ter e nunca usar do que precisar e não ter. Além disso, coisas com anti-vÃrus, firewalls, e principalmente backups são primordiais pilares da segurança de informação. Backup não é luxo, é necessidade. Alguns lugares em que trabalhei, o backup era tipo a tele-sena, de hora em hora.
Obrigado pelas respostas kerplunk
Repensei sobre postar os códigos e não farei isso.
Sobre os backups,
todos os meus sistemas tem backup e acredite, eles são automáticos o usuario seta pra onde quer salvar. Só que nesses 2 clientes quando falo que eles não tinham backup é pelo seguinte.
Um deixou o pendrive de backup fisgado na maquina e não abriu a nuvem pra upar o arquivo ( o ransonware infectou tudo )
e o outro simplesmente deletou os backups rsrs
visto esse cenário ( e o fato de perder uma noite inteira escovando bits ) pensei no AES-256 e uma key RSA.
qualquer backup gerado pelo algoritimo criado agora está sendo criptografado então criei uma VM e rodei o mesmo ransonware que os clientes infectaram-se e ele não leu meu BD encriptado, ou seja, sucesso.
Fiz o decrypt do arquivo e o ransonware tmb não pegou, então em determinados casos talvez eu passe a usar esse algoritimo como precaução, sei que parece algo extremo, mas a canseira que eu tomei por causa dos problemas me fez criar isso.
Sobre partilhar como foi feito, talvez é dar corda pras pessoas mal intencionadas ou os [Ô]novatos[Ô] que só querem coisas de mão beijada. Se quiser entrar em contato comigo pra trocarmos idéias sobre essa área é só mandar pm
Abraço
Repensei sobre postar os códigos e não farei isso.
Sobre os backups,
todos os meus sistemas tem backup e acredite, eles são automáticos o usuario seta pra onde quer salvar. Só que nesses 2 clientes quando falo que eles não tinham backup é pelo seguinte.
Um deixou o pendrive de backup fisgado na maquina e não abriu a nuvem pra upar o arquivo ( o ransonware infectou tudo )
e o outro simplesmente deletou os backups rsrs
visto esse cenário ( e o fato de perder uma noite inteira escovando bits ) pensei no AES-256 e uma key RSA.
qualquer backup gerado pelo algoritimo criado agora está sendo criptografado então criei uma VM e rodei o mesmo ransonware que os clientes infectaram-se e ele não leu meu BD encriptado, ou seja, sucesso.
Fiz o decrypt do arquivo e o ransonware tmb não pegou, então em determinados casos talvez eu passe a usar esse algoritimo como precaução, sei que parece algo extremo, mas a canseira que eu tomei por causa dos problemas me fez criar isso.
Sobre partilhar como foi feito, talvez é dar corda pras pessoas mal intencionadas ou os [Ô]novatos[Ô] que só querem coisas de mão beijada. Se quiser entrar em contato comigo pra trocarmos idéias sobre essa área é só mandar pm
Abraço
A verdade nua e crua: Em se tratando de sistemas eletrônicos, não existe absolutamente nada que seja 100% seguro. Isso é fato. Então por você ter rodado o ransomware e não ter prejudicado dessa vez, não significa que uma outra versão dele ou até mesmo outro não vá ter sucesso. Pelo que você me descreveu, você usa um sistema Desktop, correto? Pois é, são os mais vulneráveis à ataques. Já vi de tudo, até mesmo gente rodando algoritmo de brute force para tentar descobrir a senha do banco de dados. Quando se usa um sistema web, e de preferência rodando fora do alcance dos usuários, as informações realmente relevantes ficam protegidas e seguradas. A maioria dos provedores, possuem seguro em caso de infecção ou qualquer outro problema que afete suas informações, você recebe uma grana, e uma grana preta, diga-se de passagem. Então é mais uma razão para usar sistemas Web. E mesmo que você tenha um sistema plataforma Web, mas rodando localmente, basta deixar o servidor onde ele roda totalmente travado, sem que os usuários tenham acesso à ele. é mais uma camada de proteção e possibilita que você mesmo faça manutenção nele, até mesmo de forma remota. Já teve vários casos em que a rede dos usuários foi infectada, mas pelo servidor estar [Ô]fechado[Ô], as informações realmente importantes ficaram totalmente seguras. Recuperaram as máquinas, mas não houve nenhuma perda de dados. Nem imagina como o cliente fica feliz com isso. Só falta te chamar de herói. Além disso, hospedar sistemas web em servidores especializados, está cada dia mais barato. O Hostingzone, que hospeda aqui o VBMania, tem planos excelentes e além dele existem vários outros também com planos ótimos, vai da preferência de cada um. Mas o custo/benefÃcio disso é incomparável. Ter sua aplicação disponÃvel em qualquer lugar que esteja, é o sonho de qualquer empresário.
Sei disso kerplunk, conheço toda a estrutura web
Tenho vários sistemas desktop reescritos.
Foi a primeira coisa que falei sobre o ataque[Ô] se fosse web não ocorreria [Ô]
Tenho vários sistemas desktop reescritos.
Foi a primeira coisa que falei sobre o ataque[Ô] se fosse web não ocorreria [Ô]
Não se engane pensando que criptografar o arquivo de backup vai proteger ele de alguma forma, mudar a extensão até pode dar certo em alguns casos pois existem malwares que procuram arquivos com extensões conhecidas, mas existem os que criptografam todos os arquivos que ele conseguir, e ai não adianta nada o seu arquivo estar criptografado, pois o malware vai criptografar ele novamente e você não vai conseguir ler.
Pela experiência que tive com ransomwares eu vi eles funcionarem de duas formas, a primeira é pela maior falha de segurança que existe hoje em dia, o usuário que abre qualquer coisa que recebe por email. A outra foi uma combinação de duas falhas graves, ter o Remote Desktop configurado e funcionando na porta padrão e usuários que colocaram senha fáceis de mais.
No primeiro caso o usuário perdeu todos os arquivos dele, mas eu tinha backup então a perda foi pequena, só o que ele tinha feito no dia, e não afetou o banco de dados do sistema que eles usam (que não é meu) pois estava em uso provavelmente.
O segundo caso aconteceu duas vezes até eu descobrir que foi pelo Remote Desktop e que o usuário usava a senha [Ô]123[Ô], eu descobri isso apenas porque vi o horário que os arquivos foram alterados, e que não deveria ter ninguém na empresa nesta hora. A primeira vez foi a que realmente causou problemas pois pegou o banco de dados do sistema que eles usam e tinha acontecido do HD de backup falhar alguns dias antes disso, e eu avisando que precisava trocar ele, resultado, perderam quase uma semana de registros.
O backup em si não foi afetado em nenhum caso pelo ransomware pois eu configurei ele corretamente, apenas eu tinha acesso aos arquivos e nenhum usuário tem acesso de administrador, agora o sistema que eles usam o cara que fez ele é um [Ô]gênio[Ô], colocou o banco de dados na mesma pasta do programa e deu permissão a todos os usuários para gravação, é nessas horas que eu fico imaginando se esse [Ô]programador[Ô] sabe como o banco de dados funciona, que no caso é o Firebird, então por precaução eu fui lá e mudei a permissão de acesso, como o Firebird roda com a conta System é só ela que precisa ter acesso ao arquivo.
Depois disso na noite seguinte aconteceu novamente o mesmo problema com o mesmo usuário, só que como eu tinha protegido o banco de dados foi afetado apenas os arquivos deste usuário, e foi ai que identifiquei mesmo que o problema era o Remote Desktop e a senha fraca deste usuário, depois disso obriguei todo mundo a trocar de senha e impus uma polÃtica de senha no Windows com tamanho e complexidade mÃnima, depois disso ainda não tive mais problemas.
E o problema com o banco de dados pelo menos foi o suficiente para convencer de que um sistema de backup de verdade não é perda de dinheiro e sim uma necessidade, foi então contratado um sistema de backup na nuvem, agora é feito um local do PC inteiro e na nuvem das coisas mais importantes, tudo configurado para rodar toda noite e no caso de falha é enviado um email para mim avisando que o backup falhou.
Pela experiência que tive com ransomwares eu vi eles funcionarem de duas formas, a primeira é pela maior falha de segurança que existe hoje em dia, o usuário que abre qualquer coisa que recebe por email. A outra foi uma combinação de duas falhas graves, ter o Remote Desktop configurado e funcionando na porta padrão e usuários que colocaram senha fáceis de mais.
No primeiro caso o usuário perdeu todos os arquivos dele, mas eu tinha backup então a perda foi pequena, só o que ele tinha feito no dia, e não afetou o banco de dados do sistema que eles usam (que não é meu) pois estava em uso provavelmente.
O segundo caso aconteceu duas vezes até eu descobrir que foi pelo Remote Desktop e que o usuário usava a senha [Ô]123[Ô], eu descobri isso apenas porque vi o horário que os arquivos foram alterados, e que não deveria ter ninguém na empresa nesta hora. A primeira vez foi a que realmente causou problemas pois pegou o banco de dados do sistema que eles usam e tinha acontecido do HD de backup falhar alguns dias antes disso, e eu avisando que precisava trocar ele, resultado, perderam quase uma semana de registros.
O backup em si não foi afetado em nenhum caso pelo ransomware pois eu configurei ele corretamente, apenas eu tinha acesso aos arquivos e nenhum usuário tem acesso de administrador, agora o sistema que eles usam o cara que fez ele é um [Ô]gênio[Ô], colocou o banco de dados na mesma pasta do programa e deu permissão a todos os usuários para gravação, é nessas horas que eu fico imaginando se esse [Ô]programador[Ô] sabe como o banco de dados funciona, que no caso é o Firebird, então por precaução eu fui lá e mudei a permissão de acesso, como o Firebird roda com a conta System é só ela que precisa ter acesso ao arquivo.
Depois disso na noite seguinte aconteceu novamente o mesmo problema com o mesmo usuário, só que como eu tinha protegido o banco de dados foi afetado apenas os arquivos deste usuário, e foi ai que identifiquei mesmo que o problema era o Remote Desktop e a senha fraca deste usuário, depois disso obriguei todo mundo a trocar de senha e impus uma polÃtica de senha no Windows com tamanho e complexidade mÃnima, depois disso ainda não tive mais problemas.
E o problema com o banco de dados pelo menos foi o suficiente para convencer de que um sistema de backup de verdade não é perda de dinheiro e sim uma necessidade, foi então contratado um sistema de backup na nuvem, agora é feito um local do PC inteiro e na nuvem das coisas mais importantes, tudo configurado para rodar toda noite e no caso de falha é enviado um email para mim avisando que o backup falhou.
sabe que eu eu faco em clientes meus, faco backup deles e subo para nuvens sem eles saber, porque questão de segurança sempre peco para deixar a maquina sql liga sempre, ai partir dai o cliente não sabe que estou fazendo backup, peco que ele deixei um pendriver as 18:00 faco backup neste pen driver que ele leva embora, e por segurança , tambem faco na nuvens, segurança é uma questão seria mesmo como diz nosso amigo KERPLUNK.
OCELOT,
além de criptografar o arquivo eu mudo a extensão dele, posso colocar qualquer tipo de extensão e depois posso por a extensão correta pelo algoritimo, se for a mão corrompe o arquivo.
Coloquei um arquivo criptografado com a extensão do firebird FDB e rodei o ransomware CERBER3 na VM e ele não criptografou os arquivos devido a chave RSA, ja que além de eu tornar os dados criptografados eu obrigo a abertura do arquivo a ser colocado a key.
Sei que tem algumas coisas que nada poderei fazer quando algum ransomware mais forte aparecer na web , mas dessa forma que implementei o rijndael , 3 tipos foram testados e nenhum dos 3 pegou.
sobre backup em nuvem, temos uma pequena obs a fazer:
se o arquivo for imenso e a nuvem ainda estiver fazendo upload justamente no momento do ataque do ransomware, nada poderá ser feito, ja que, ele tmb infecta os arquivos que ainda estão passando pra nuvem ( tmb testei isso ). Melhor forma mesmo é rotinas de backup diferentes como citou o JOAOBENEVIDES.
estou vendo a possibilidade de por esse processo AES somente em casos extremos onde sei, que a engenharia social do cliente é completamente falha
além de criptografar o arquivo eu mudo a extensão dele, posso colocar qualquer tipo de extensão e depois posso por a extensão correta pelo algoritimo, se for a mão corrompe o arquivo.
Coloquei um arquivo criptografado com a extensão do firebird FDB e rodei o ransomware CERBER3 na VM e ele não criptografou os arquivos devido a chave RSA, ja que além de eu tornar os dados criptografados eu obrigo a abertura do arquivo a ser colocado a key.
Sei que tem algumas coisas que nada poderei fazer quando algum ransomware mais forte aparecer na web , mas dessa forma que implementei o rijndael , 3 tipos foram testados e nenhum dos 3 pegou.
sobre backup em nuvem, temos uma pequena obs a fazer:
se o arquivo for imenso e a nuvem ainda estiver fazendo upload justamente no momento do ataque do ransomware, nada poderá ser feito, ja que, ele tmb infecta os arquivos que ainda estão passando pra nuvem ( tmb testei isso ). Melhor forma mesmo é rotinas de backup diferentes como citou o JOAOBENEVIDES.
estou vendo a possibilidade de por esse processo AES somente em casos extremos onde sei, que a engenharia social do cliente é completamente falha
Citação::
OCELOT,
além de criptografar o arquivo eu mudo a extensão dele, posso colocar qualquer tipo de extensão e depois posso por a extensão correta pelo algoritimo, se for a mão corrompe o arquivo.
Coloquei um arquivo criptografado com a extensão do firebird FDB e rodei o ransomware CERBER3 na VM e ele não criptografou os arquivos devido a chave RSA, ja que além de eu tornar os dados criptografados eu obrigo a abertura do arquivo a ser colocado a key.
Depende de como funciona essa criptografia e de como essa chave foi adicionada, se é o seu programa que controla tudo isso não te protege, digamos assim, se eu posso abrir o arquivo em um editor hexadecimal por exemplo, editar e salvar, então você não está protegido, se for este o caso então simplesmente os malwares que você testou ignoraram o arquivo com extensão que não reconheceram, agora se pra abrir em qualquer programa que seja o arquivo existe uma proteção com senha então pode estar protegido.
Citação:sobre backup em nuvem, temos uma pequena obs a fazer:
se o arquivo for imenso e a nuvem ainda estiver fazendo upload justamente no momento do ataque do ransomware, nada poderá ser feito, ja que, ele tmb infecta os arquivos que ainda estão passando pra nuvem ( tmb testei isso ). Melhor forma mesmo é rotinas de backup diferentes como citou o JOAOBENEVIDES.
Na verdade isso não é problema para programas de backup de verdade, o que uso (Acronis) usa um sistema de cópia de sombra, basicamente no inicio do backup ele cria uma cópia de sombra, que é uma cópia que não existe fisicamente no HD então não faz diferença o tamanho do arquivo e não tem nenhum impacto em performance, porém se o arquivo é modificado enquanto está sendo feito o backup a cópia de sombra se mantém intacta, as alterações são salvas em outro local do HD até o backup completar, e isso é transparente para qualquer programa que tente acessar o arquivo.
Ocelot,
Ele não abre em nenhum programa pois pede a key rsa. E realmente já tinha visualizado o cenário de meu sistema controlar isso ser ruim. Fato é que eu separei a responsabilidade. Você tem razão quando diz sobre sombra, mas sabe como é cliente, uma hora futuca onde não deve é já era rs
Ele não abre em nenhum programa pois pede a key rsa. E realmente já tinha visualizado o cenário de meu sistema controlar isso ser ruim. Fato é que eu separei a responsabilidade. Você tem razão quando diz sobre sombra, mas sabe como é cliente, uma hora futuca onde não deve é já era rs
Tópico encerrado , respostas não são mais permitidas