Crypto Locker e Processi di Backup

La nuova variante di Crypto Locker apre un nuovo scenario di paura sui Dati Aziendali e la possibilità della loro perdita. Ecco qualche riflessione sulle metodologie di backup in questi scenari.

Leggevo oggi un articolo sulla nuova variante di Crypto Locker che si sta diffondendo in Rete nell'ultima settimana. Abbiamo già vissuto questo virus qualche mese fa, che era possibile risolvere grazie ad un hack di Dr. Web, decifrando i file compromessi.

Stavolta la situazione sembra più complicata, visto che - a quanto ho potuto leggere - stavolta il virus abbia un conto alla rovescia che distrugge i file in modo irreversibile dopo 100 ore dall'infezione.

Non ho (ancora) letto il bollettino tecnico del virus, ma la mia attenzione al momento è rivolta ai sistemi di backup che sono in produzione nelle Aziende più che il virus stesso. Ammetto di non essere mai stato un grande appassionato dei sistemi di backup basati unicamente sulle soluzioni NAS. Questo è l'esempio perfetto per descrivere le ragioni del mio dissenso.

Supponiamo uno scenario in cui il virus colpisca una postazione della Vostra Azienda. Ora, in questo scenario, il virus non solo cerca tra i file del personal computer locale, ma anche sfogliando le unità di rete collegate nelle Risorse del Computer o quelle che si è tenuto in memoria da attività precedenti. O peggio ancora (siamo ben lontani dalla fantascienza - questo comportamento lo hanno quasi tutti i "worm") si cerchi le condivisioni in autonomia sulla vostra rete. Non mi stupirei affatto di leggere di una variante del genere in futuro.

Ma avete un backup. Un NAS, che espone sulla rete una condivisione, nella quale sono salvati tutte le copie dei vostri file, o magari i file di produzione veri e propri. Ecco che lo scenario diventa ancora più tetro, dal momento che tutto il backup dei dati diventa cifrato, e non certo per protezione dei medesimi. Questo è uno scenario di perdita dei dati decisamente catastrofico.

Processi di backup su nastro dovrebbero essere sempre presi in considerazione quando si parla di backup vero e proprio. Il concetto sbagliato che induce a pensare che meccanismi come il RAID e/o la mera copia dei dati su un supporto esterno (sia esso USB o di rete) siano delle valide soluzioni di sicurezza e conservazione dei dati a lungo termine induce un falso senso di sicurezza che può avere ripercussioni drammatiche, dal momento che i dati sono sempre "vivi" ed accessibili in un qualche modo (e si, questo vale anche per i dischi USB).

Valutando una soluzione di backup sulla base dei volumi di dati che bisogna contenere, si dovrebbe quantomeno tenere in considerazione la disponibilità di una copia dei dati offline. I provider delle soluzioni di backup in Cloud, tra l'altro, comprendono tipicamente anche una copia dei dati su nastro su un primo o secondo "tier" del proprio ciclo esistenziale, proprio per mitigare situazioni come quella dello scenario descritto.

Per quanto violento un virus possa essere ed intaccare il dato sui supporti "vivi" (online), non è certo in grado di mettere a repentaglio un dato che si trova salvato su un nastro che si trova all'interno di un armadio o comunque "offline".

Aggiornamento

A quanto ho potuto capire e leggere in giro in Rete, la nuova variante di CryptoLocker esegue una scansione del disco locale e dei dischi di rete alla ricerca dei seguenti tipi di file: *.odt, *.ods, *.odp, *.odm, *.odc, *.odb, *.doc, *.docx, *.docm, *.wps, *.xls, *.xlsx, *.xlsm, *.xlsb, *.xlk, *.ppt, *.pptx, *.pptm, *.mdb, *.accdb, *.pst, *.dwg, *.dxf, *.dxg, *.wpd, *.rtf, *.wb2, *.mdf, *.dbf, *.psd, *.pdd, *.eps, *.ai, *.indd, *.cdr, ????????.jpg, ????????.jpe, img_*.jpg, *.dng, *.3fr, *.arw, *.srf, *.sr2, *.bay, *.crw, *.cr2, *.dcr, *.kdc, *.erf, *.mef, *.mrw, *.nef, *.nrw, *.orf, *.raf, *.raw, *.rwl, *.rw2, *.r3d, *.ptx, *.pef, *.srw, *.x3f, *.der, *.cer, *.crt, *.pem, *.pfx, *.p12, *.p7b, *.p7c.

Per i non addetti ai lavori, questi file comprendono: documenti di Office (ma gia' lo sapevamo), file di posta elettronica (Microsoft Outlook, Outlook Express), documenti di Access e banche dati di SQL Server (gestionali, ERP, ecc), documenti di Autocad, certificati digitali (comprese firme digitali).