The saddest aspect of life right now is that science gathers knowledge faster than society gathers wisdom. - Isaac Asimov, scientist and writer (1920-1992)

22 iunie 2015

Ransomware sau sechestrarea datelor informatice. Negociere imposibila?

Presa si media sociala din ultimele luni abunda in semnalari referitoare la atacurile informatice de tip Ransomware - acele atacuri efectuate eminamente automatizat, prin intermediul unor virusi informatici specializati care encripteaza datele de pe sistemul informatic al victimei, atacatorii pretinzand sume de bani pentru a furniza cheia de decriptare. Sfaturile variaza, de la efectuarea preventiva de copii de rezerva si pana la plata rascumpararii (existand exemple "de succes", atacatorii livrand cheia). O alta categorie de articole ofera posibile retete de recuperare a datelor, dar care in general depind de gradul in care acestea se mai regasesc in sistem in forma neencriptata.

Se pot recupera datele fara a plati? Cui pot cere ajutorul? Cum abordez problema?


Fie ca suntem noi insine victime, fie ca ajutam un prieten sau facem parte din echipa de securitate a unei companii, in deciziile care se iau conteaza foarte mult evaluarea realista a situatiei. Incercam mai jos o scurta fisa de evaluare si decizie:

I. Argumentele atacatorilor:


A. Imposibilitatea obtinerii de ajutor de la politie si autoritati:  Din punct de vedere juridic, avem de a face cu cel putin doua fapte penale. Teoretic am putea avea concursul statului. In realitate insa, autorii se pot afla oriunde in lume, iar automatizarea procesului si intreg lantul de tehnici utilizate pentru anonimizare, face aproape imposibil acest ajutor in timp util. Simpla expertizare a sistemului informatic nu va conduce niciodata direct la atacator. Nu inseamna insa ca nu ar trebui depusa plangere penala, situatie care necesita atentie in a nu compromite probe prin interventia asupra datelor.

B. Datele sunt practic imposibil de decriptat cu mijloacele aflate la dispozitie si intr-un timp rezonabil, pentru a nu produce consecinte asupra afacerii sau vietii personale. Companiile de securitate au incercat si incearca diverse metode, oferind fie servicii online fie produse software care incearca identificarea cheii respective, dar si acestea pe moment depind de "norocul" ca investigatorii sa descopere baze de date cu chei de decriptare.
 
C. Factorul timp: in cazul unor atacuri, in 7 zile se dubleaza pretul rascumpararii - pentru a spori presiunea in luarea deciziei de a plati.

D. Aspectul psihologic: Atacul nu ar fi posibil fara doua componente psihologice cheie:
  1. Nu facem o rutina din a efectua copii de rezerva (backup) la datele informatice, desi poate pentru compania sau cariera noastra ele sunt singurul capital important.
  2. Panica de moment pe care o genereaza amenintarea cu pierderea "tuturor" datelor informatice, mai ales ca tindem sa pastram in acelasi sistem informatic tot ce am adunat in timp.
 
E. Impactul financiar: Fie ca vorbim de munca proprie din care obtinem venituri, fie ca, in cazul companiilor, vorbim de punerea in pericol a afacerii prin pagube materiale sau afectarea renumelui, o evaluare corecta a optiunilor trebuie sa cuantifice si acest aspect pe care se bazeaza si atacatorii de altfel.

F. Devirusarea sistemului informatic nu decripteaza datele, nefiind neaparat alegerea logica imediata. Prin devirusare sistemul informatic este doar curatat de virusul propriu-zis, datele ramanand encriptate, fiind in acelasi timp sterse urmele care ar putea constitui probe in cazul in care cerem ajutorul autoritatilor.


II. Negocierea in cazul "sechestrarii de date" este cu sine insusi. Ce date accept sa pierd?

Dupa socul initial, dat fiind factorul timp, este importanta perceperea argumentelor atacatorilor si trecerea rapida la evaluarea si decizia cu privire la situatia creata. Este de la sine inteleasa incercarea de a nu plati rascumpararea, dar decizia trebuie sa fie luata in cunostinta de cauza si in urma unei atente cantariri a consecintelor.

Iata un set de intrebari la care ar fi indicat sa raspundem in timp scurt, cerand si ajutorul specialistilor pentru unele dintre raspunsuri, astfel incat sa adoptam strategic o decizie:
  1. Cat de "importante" sunt acele date si documente per ansamblu? Care este repartizarea pe categorii a pagubelor posibile (materiale, sentimentale, etc)?
  2. Care e acel set de 20% din date (fisiere) care produce paguba cea mai mare daca se pierd si cand au fost acestea modificate ultima data?
  3. Sigur nu le regasim in alta parte (e-mail, stick, CD, trimise la colegi etc.)?
  4. Cate backup-uri/restore points avem in sistem si cat de vechi sunt acestea?
  5. La ce riscuri de alta natura ne expunem daca recuperarea nu reuseste (ex. juridice, pierdere job etc.)
  6. Este suma platita ca rascumparare mai mica sau mai mare decat costul in ore de munca pentru a aduce la zi datele de la nivelul de la care le putem recupera?
  Intrebarile de mai sus sunt generice. Acestea si altele pot ajuta la luarea unei decizii, mai ales in cazul companiilor unde dealtfel, daca s-a ajuns la situatia “sechestrarii de date informatice”, ar fi fost multi alti pasi de facut pentru a preveni incidentul.

III. Preventia este singurul ajutor real in acest caz


Atentia speciala de care a beneficiat in ultimul timp fenomenul desi nu este unul nou aparut, are rolul de a trage semnalul de alarma: Desi este o fapta penala, doar preventia ne poate ajuta, autoritatile neavand cum.

Efectuarea frecventa de copii rezerva a datelor pe alte sisteme si medii de stocare va trebui sa ne intre in reflex si se poate automatiza. La aceasta putem adauga un antivirus si sistem de operare aduse la zi. Pentru companii, politicile de securitate pornesc de la a renunta la tinerea tuturor datelor "intr-un singur cos" alocand sisteme separate pentru procesele cheie, nepermiterea utilizarii in alte scopuri a sistemelor informatice care contin date vitale, instruirea angajatilor dar si a departamentelor specializate, introducerea de proceduri specifice.

Companiile mari pot avea deja astfel de proceduri, dar "sechestrarea" este nediscriminatorie. Companiile mici si persoanele private pot primi lovituri grele prin pierderea datelor.

In acest context inchei cu intrebarea:
In cate locuri separate aveti stocat acel set de date si documente pentru care ati da pe loc 500 USD sa nu le pierdeti?

Niciun comentariu:

Trimiteți un comentariu