none
Windows Server 2003 e R2, Terminal Server Aperto e file di dati criptati da pirati informatici, parte seconda. RRS feed

  • Discussione generale

  • Ho ricevuto oggi la chiamata di un collega sul limite della disperazione a causa nuovamente dei crackers\lamers della criptatura dati sui Windows Server 2003 con le porte terminal server aperte verso l’esterno. Speravo fosse oramai una partita chiusa (e vinta) da parte di noi sistemisti ma mi rendo conto che ancora permangono tante installazioni in giro nel nostro paese che hanno la 3389 aperta al mondo e spesso è perché il cliente in oggetto non vuole spendere per mettersi in sicurezza o ignora il problema.

    Il pirata di turno bypassa il discorso password complesse usando un buco di protezione del protocollo rpd dei server 2003, ancora non noto direi, quindi non è un discorso di password enforcement, non fa un brute force attack alla macchina, aggira il problema e passa. Di questo sono sicuro, perché? Perché sono stati bucati anche server con password complesse, administrator disabled e blocco dopo 3 tentativi come policy di 24 ore.

    Una volta entrato cripta tutto il contenuto del server e delle share sulla rete (quindi anche sui client dove spesso ci sono C:\ condivisi) con un algoritmo a 256 o 512 bit. Cripta anche i backup se non sono stati protetti in qualche modo o se sono USB ma non vengono criptati i FILES DI SISTEMA quindi la macchina continua ad andare. Non si salvano nemmeno i db slq,postgre,mysql ecc…

    A quel punto non avete soluzioni se non pagare per sbloccare, 200,400,800€ a seconda del tempo che ci mettete (una volta erano solo 200, ora si sono evoluti, più aspettate più alto è il prezzo). Il problema è che se il 90% delle volte il pagamento va a buon fine e vi salvate a volte il pirata scompare senza lasciare traccia anche senza essere pagato ma voi rimanete senza dati perché senza la chiave di decriptatura non potete fare nulla.

    Tenete presente che:

    -          NON DOVETE seguire le guide che trovate in giro sui forum che parlano di virus, scansioni, fate solo danno, gli Antivirus riconoscono i files criptati come nocivi e li eliminano, facendovi perdere tutto, quelle non sono copie, sono gli originali.

    -          NON ESITE MODO di decrittare una chiave a 256 o 512 bit senza la relativa parte mancante, è proprio un problema fisico, non avete una parte dell’algoritmo quindi evitate di chiamare “l’amico esperto di turno” se anche lavora all’NSA non può farcela ma può fare molti danni provando a giocare col vostro server.

    -         Le SHADOW COPIES vengono subito disabilitate dal pirata di turno se presenti. Pensavate di usare quelle? Peccato…

    -         Se non trovate il modo di “pagare il riscatto” DITE ADDIO AI VOSTRI DATI

    Questa piccola guida per sensibilizzare tutti quanti ancora una volta a:

    -          CHIUDERE LE PORTE TERMINAL SERVER APERTE!! non è più possibile mantenerle, certo parliamo di 2003 ma domani viene trovato un buco per 2008 R2? Cosa facciamo? Da cavie? No grazie.

    -          La parola chiave è VPN (magari non PPTP, esiste una guida online “come forare in 5 minuti una PPTP VNP) e Firewall Hardware a protezione della vostra rete. SSL VPN o IPSEC VPN sono altrettanto valide.

    -          Proteggete comunque i backup su rete o offline tramite autenticazione con credenziali NON presenti nella vostra AD, se vi va male, avete un backup, tutti i programmi di backup seri supportano l’autenticazione con altre credenziali, usate un user esistente solo sul nas\server di destinazione per dare il via al backup.

    -          SENSIBILIZZATE I VOSTRI CLIENTI, non è una questione di denaro, è una questione di dormire la notte e soprattutto se un giorno il problema salterà fuori sarete sempre voi i primi ad essere additati anche se il cliente ne è a conoscenza. Personalmente farei firmare una delibera che se il cliente vuole a tutti i costi tenere aperta la porta perché il commercialista di turno deve usare il gestionale o perché non vuole investire 1000€ in un firewall serio esenta l’azienda IT od il Sistemista di turno da qualsiasi eventuale problema sui dati.

    Spero che questa piccola guida vi sensibilizzi ancora una volta, ancora di più, sicuramente non ne avete bisogno…ma…alcuni di noi, sotto sotto hanno una 3389 aperta da qualche parte…chiudetela!!!

    Buon lavoro.

    A.

    mercoledì 8 ottobre 2014 14:36
    Moderatore