cogito, ergo incognito

illuzionista praktikák túszejtés idején

2016. március 17. - gordiuszblog

 

Senhor Manuel User a portugáliai gyapot pápa, munkájából adódóan gyakorta folytat kiterjedt levelezést nigériai-, orosz föderációs- és ázsiai székhelyű partnercégekkel. Persze nem ővele történt meg az alábbi eset, csak mesélte.. Van egy barátja, nem is igazi barát, volt osztálytárs, inkább ismerős, aki szintén kiterjedt nemzetközi levelezést folytat munkája során. Dr. Frankie A. Questions az uniós cipőexportot támogatja a kaolin, volfrám és uránfoszfát nyersanyagbányászat logisztikájával. Frankie céges postafiókjában rendszeresek az angol nyelvű levelek. Felüdülés számára, ha lottónyereményekről értesítik, PayPal-os adategyeztetések témában olvashat vagy segítségért fordul hozzá valaki egy távoli hercegségből, hogy busás haszon fejében átmentsenek pár millió dollárt, nyers gyémántot.. Szereti az ilyen kihívásokat, a gépi fordításokat kicsit nehéz olvasni, de a hivatalos címére jönnek a levelek, haladéktalanul intézkednie kell!

meo4.png

Frankie-t lekapcsolták a munkahelye belső hálózatáról, egy régi mobiltelefon van a gurulós asztalkája alá ragasztva és arról jön a mobilinternet. Számítógépe minden reggel újratelepíti önmagát.
Mert Frankie rettenetes vírusokat enged szabadjára a levelek csatolmányaira kattintva, a haszonra kacsintva. Generális levelezőszabályként a Frankie-től érkező e-maileket a virustotal.com oldalon keresztül szűrik a kártevők miatt.
Például a Cryptolocker elnevezésű fenevad 1 óra alatt eszi meg a számítógépét és 4-5 hálózati mappát is elpusztítana, ha Frankie-t nem helyezte volna karanténba az IT. Olyankor Frankie szidja kicsit az Informatikát és inkább szunyókál.

egy fájlokat túszul ejtő vírus:

1. valahogyan megérkezik hozzánk - be kell engedni
2. e-mail csatolmányként vagy például pendrályvon - rá kell kattintanunk, hogy romboló útjára induljon
3. megkeresi a felhasználó fájljait és titkosított konténerbe dugja őket - ehhez meg kell őket találnia
4. kommunikál, váltságdíjat kér - idáig elképzelésünk szerint nem jutunk el

1. A Cryptolocker kártevőnek, hasonlóan egyéb kellemetlenséget okozó vírusokhoz el kell jutnia a felhasználóig, hogy az tévedésből aktiválja.
Ezt az utat tűzfalakkal lehet megnehezíteni. Csökkenteni lehet az átjutott elemek számát és lehet, hogy csak manuálisan, de munka az is. Munkahelyi e-mailcímet ne használjunk mondjuk PayPal-os fizetésre, ha ezt kimondhatjuk, akkor a paypal karaktersor rákerülhet arra a visszatartott feketelistára, ahol például a millió, a lottó, az örökség szavak előfordulása határozza meg egy levél státusát.

2. Oktatással lehet finomkodni, hogy ne futtassunk le fájlokba rejtett fájlokat, hordozókártevőket, kapudrogot.., de ezen a területen ~2o éve sikertelen a harc.

3. A Cryptolocker systema egyik gyenge pontjaként is értékelhető, hogy ~ 1oo-as nagyságrendű, meghatározott típusú fájlokat keres, hogy titkosítással tegye elérhetetlenné azokat az állományokat, melyek fontosak lehetnek és váltságdíjat lehet értük kérni. Ha időközönként lefut egy olyan automatikus szkript [angolul IZÉ], ami becsomagolja a sztenderd vagy dedikált mappák [Dokumentumok, Asztal..] tartalmát vagy a gyakori felhasználói fájltípusokat és születik egy ZIP [vagy RAR], azzal még nem vagyunk előrébb, mert a ~ 1oo-féle említett kiterjesztés között esélyes, hogy ezek a gyakori archiváló formátumok is helyet kapnak. Viszont, nehéz előre gondolni és megtalálni egy archiv.lószőr nevű fájlt. Ha a szkript át is nevezi az állományt, de annak nem a nevét, hanem a kiterjesztését, akkor ez az állomány kikerül a keresett és titkosítással túszul ejteni kívánt fájlok köréből. A hazai, ékezetes karaktersorok alkalmazása betűvadászatra vagy magyar billentyűzet eBay-es rendelésére kényszeríti a körmönfont adattolvajokat, ami tömeges, nem célzott fertőzés esetén kevéssé valószínű pluszmunka.
Az akár két verzióig is, helyi gépen megőrzött hamis ZIP-fájlokból baj esetén helyreállíthatóak a tartalmak.

a Cryptolocker elől eldugott hamis tömörített állomány:

 

ugysekapszel.árvíztűrőtükörfúrógép

Mennyivel egyszerűbb lenne persze a hagyományos utat követni, azaz elmenteni a dolgokat időközönként egy külső meghajtóra. De ahhoz fel kell állni, meg kell mozdulni, elő kell venni, be kell dugni - fárasztó dolog, ezért fogynak a pendrályvok és tör előre a felhő. Mert a felhőt nem kell előásni a retikülből és nem hagyjuk bedugva a céges gépbe.

Amikor Mr. User Manuel egyik vasárnap a Caldo Verde-jét kanalazta, a Frango Piri-Piri illatát megérezve eszébe jutott Frankie bácsi története [FAQ] és elmesélte a családnak. Manuel fiának, Manuelnek [Os Belenenses, csatár] az az ötlete támadt, hogy jópofa dolog a felhő, meg az automatikus szinkron, de, ha oda is beleeszi magát a Cryptolocker, akkor köszönjük, de maradjon a cserepadon.
Ne legyen szinkron, a felhős kliens ne fusson automatikusan. Egy kellemetlenkedő értesítés ugorjon fel inkább, például hetente, hogy archiválni kéne. Ez utóbbi már a nagymama, Amália da Piedade Rebordão Rodrigues ötlete volt.

Annyi idő alatt, amíg lemegy egy fado album vagy egy film a számítógépen, akár ki is derülhet, hogy fertőzött-e Cryptolocker-rel [belassul a titkosítás folyamata miatt, majd egész képernyős üzenetben kér váltságdíjat], ha szerencsénk van és nem lappangós fajta, akkor elindíthatjuk a szinkronizáló klienst és elmenthetjük fájljainkat a felhőbe, majd zárhatjuk is a csatornát.

meo1.png

Mivel megszűnt a Copy, a Dropbox kicsi, a Mega pedig lehet, túlságosan geek - adja magát a portugál MEO, mely egyesíti a korábbi Copy tárhelyméretét a Dropbox funkcionalitásával:

- 3o napos verziókövetés
- referáló linkkel további 5ooMb-ok gyűjtögetése
- közös-/csoportmunka mappa [Upload2Me]
- 16GB tárhely
- webes elérés portugál nyelven
- angol nyelvű kliens Android-hoz, Linux 32/64bit, Firefox kiegészítő, Windows, MacOSX
- direkt link, közvetlenül honlapba ágyazható tartalom

Az ingyenes MEO Cloud szolgáltatását a Portugal Telecom biztosítja [MOCHE e PT Empresas]

A MEO Cloud segítségével tehát 16GB-onként archiválhatunk mondjuk hetente, ami átlagos felhasználás esetén nem kevés. Ha kevés lenne, akkor évente vennénk új merevlemezt. Természetesen vannak extrém igényű felhasználók, akiknek több terabyte nagyon fontos/sürgős fájljaik vannak, de tekintettel arra, hogy naponta ~2oGB-ot vagy hetente pihenés nélkül nagy nehezen 15oGB-ot bírunk csak „fogyasztani”, ez nem egy olyan elvárás, amire reagálni kellene tudni. Aki nagy mennyiségű adatot a rendszerlemezen, partícióként tárol, az nagy kockázatot vállal. Valamint érdemes megemlíteni, hogy aki ekkora adatmennyiséget forgat, az vagy maga vágta a StarWars7-et vagy nem saját maga által létrehozott anyagokat őrizget, melyek reprodukálhatóak, kényelmetlenül, de nem vesznek el végleg.

A fontos, pótolhatatlan állomány az, amit mi hoztunk létre és csak nálunk van meg.

Egy akármilyen operációs rendszerrel működtetett számítógépet 1-2 óra alatt újra lehet telepíteni, de ez nem mindennapi szükséglet, csak úgy nem, mint a Cryptolocker támadás. Elsősorban nem az operációs rendszert és a beállításokat kell védeni, azok ugyancsak reprodukálhatóak.

Az adatokat kell védeni valahogyan. Kell választani egy módszert, de egyik sem 1oo%-os. Első lépésben azt kell eldönteni, hogy elszenvedő áldozat vagy megelőző szerepkörben akarunk-e lenni, második lépés az előrelátó védekezés.

 

A bejegyzés trackback címe:

https://gordiusz.blog.hu/api/trackback/id/tr108487474

Kommentek:

A hozzászólások a vonatkozó jogszabályok  értelmében felhasználói tartalomnak minősülnek, értük a szolgáltatás technikai  üzemeltetője semmilyen felelősséget nem vállal, azokat nem ellenőrzi. Kifogás esetén forduljon a blog szerkesztőjéhez. Részletek a  Felhasználási feltételekben és az adatvédelmi tájékoztatóban.

Nincsenek hozzászólások.