Potrebbe andarti di lusso…
… se l’hacker in questione fosse un mentecatto.
Allora, tempo fa mi chiama un’azienda dicendo che hanno un problema: grazie a una porta RDP (desktop remoto) lasciata aperta sul server ed esposta su internet, si sono trovati con qualche terabyte di dati criptati. Nulla di che, solo tutta l’azienda paralizzata.
Pensano di chiamare me, per risolvere il problema, avendo letto parecchio mio materiale e avendomi sentito parlare a un paio di eventi. Ovviamente, seppur senza grosse speranze in tasca, faccio un salto da loro approfittando anche della breve distanza che ci separa (un’oretta di macchina).
Sul posto la situazione che mi si presenta davanti è questa:
- 5 server fisici, tutti compromessi;
- NAS contenente i backup, dal quale il contenuto è stato cancellato;
- nessuna copia dei dati recuperabile.
Hai presente la sensazione di una bella nuotata nelle acque del Gange? Ecco, per loro era un po’ peggio.
L’unico punto a favore era quello temporale. In pratica il patatrac è successo durante l’ultimo weekend prima delle ferie. L’azienda è chiusa per due settimane, quindi al momento non c’è un blocco operativo o un danno da mancata produzione. Un bel terno al lotto, se vogliamo vederla così.
Specifico al titolare che i dati sono irrecuperabili, e che senza un backup non vedo molte alternative. Anzi, ne vedo solo due:
- fare che non riaprire dopo le ferie, dichiarando il fallimento;
- pagare i criminali per provare ad ottenere le chiavi di sblocco.
Si, entrambe le opzioni fanno abbastanza schifo. Non lo metto in dubbio.
La folgorazione
Cercando di trovare una soluzione migliore di quelle prospettate, vengo colpito da folgorazione.
Se fossi stato nei panni dei criminali, avrei crittografato anche il contenuto del NAS. Loro invece hanno optato per una soluzione alternativa (sicuramente più veloce), ovvero quella di resettare il NAS. Scelta veloce, senza dubbio, ma che espone il fianco.
Consiglio al titolare dell’azienda di inviare il NAS presso un centro di recupero dati. Quelli che, a volte, ti salvano le terga quando un disco si rompe o in situazioni simili.
Decide di seguire il mio consiglio. Il NAS viene spedito e in un paio di giorni ci comunicano che la scelta è stata vincente. Sono riusciti a recuperare il contenuto del NAS, e quindi i backup dei dati.
Decidiamo quindi di ricreare l’intera infrastruttura server. Alcune macchine erano obsolete e quindi si opta per l’acquisto di un nuovo server, ben carrozzato, e il consolidamento del tutto in un tot di macchine virtuali.
Riprogettiamo tutto, isolando ciò che deve comunicare con il mondo internet da ciò che invece deve restare all’interno. La classica botte di ferro, per intenderci.
Modifichiamo le configurazioni dei firewall, implementando VPN e DMZ.
Dal NAS recuperiamo i backup così da rendere nuovamente disponibili i dati.
Installiamo un sistema di backup e disaster recovery degno di tale nome, per evitare che ciò che è successo possa accadere di nuovo.
Tutta l’operazione viene effettuata su un server che concedo in prestito, visto che non c’è il tempo tecnico per aspettare l’arrivo del nuovo hardware. Quando arriverà il server definitivo sarà sufficiente trasferire le macchine virtuali dal mio muletto verso il nuovo, e l’operazione sarà quindi conclusa.
Il risultato è che ieri alla riapertura degli uffici, l’azienda lavorava più o meno come se nulla fosse successo. Un viaggio all’inferno, andata e ritorno.
Quindi anche se non hai un sistema ben progettato sei comunque al sicuro?
No, assolutamente no. Ma neanche per idea.
L’azienda protagonista di questa storia ha avuto quella che in gergo tecnico viene definita “botta di stramegaculo”. Non punterei sul fatto che tu possa essere altrettanto fortunato, perché nel 99,9% dei casi non sarà così.
A loro è andata bene per diversi motivi:
- tutto è successo nel periodo migliore nel quale poteva capitare un disastro nel genere;
- la loro sede è relativamente vicina alla mia, quindi ho potuto operare sul posto facendo diversi viaggi in diversi giorni;
- il criminale che ha sferrato l’attacco era, senza dubbio, completamente cerebroleso.
Puoi azzardare la scommessa, ma ti dico che la perderai con certezza quasi matematica.
In alternativa, potresti analizzare la tua situazione e tappare i buchi prima che qualcuno ci infili la testa.
Io posso darti una mano per la valutazione.