Per chi preferisce ascoltare il podcast invece che leggere, clicchi qui:

Secondo Podcast ITStars (su Spotify)

Ho deciso di scrivere questo post per parlare di un tema ahimè molto diffuso e che ha dato filo da torcere a diversi IT Manager.

Proprio l’altro giorno ci trovavamo da un cliente e parlando del più famoso malware in circolazione, sono stato colpito dalle sue parole: “…perché io vorrei essere pronto non SE, ma QUANDO arriverà il cryptolocker!“.

Per quelli che non sanno cosè un cryptolocker diciamo brevemente che è un ramsonware e cioè un virus informatico che rende inaccessibili i file sul vostro computer o server aziendale e richiede un riscatto per sbloccarli. (qui la definizione di Wikipedia: CryptoLocker )

Le sue parole possono sembrare pessimistiche ma sono frutto di una situazione che è davvero reale.

Al finire dello scorso anno ho avuto due telefonate da due clienti nella stessa settimana con lo stesso problema, avevano beccato il cryptolocker.

Il titolo di questo articolo è ovviamente provocante ma ha secondo me un fondo di verità e proverò ora a spiegarlo. E’ dovere di ogni buon IT Manager proteggere la propria azienda da ogni minaccia informatica, pertanto ha il compito di installare:

  • un buon firewall
  • un buon filtro delle mail
  • un antivirus efficace

Ed ha il compito di istruire gli utenti a comportarsi in maniera attenta per non cadere in una trappola che potrebbe compromettere tutta la rete aziendale.

La falla in tutto questo è che parte del gioco è affidata alle persone e questo apre alla possibilità di sbagliare (come è nella nostra natura), quindi un giorno un utente potrebbe innocentemente portare una chiavetta USB da casa o aprire una mail che sembra in tutto e per tutto originale e “BAM!” il cryptolocker entra sul suo computer e magari lui nemmeno se ne accorge.

A quel punto la situazione può andare in due direzioni:

  1. l’antivirus si accorge del malware e lo distrugge immediatamente,
  2. Il cryptolocker parte a fare quello per cui è stato creato, cryptando quindi tutto il PC infetto comprese le condivisioni di rete visibili ad esso (fileserver/NAS per capirci).

Nel secondo caso c’è poco che si possa fare, se non pagare il riscatto (senza la certezza che il problema venga risolto e percorrendo una strada al limite della legalità) oppure ripristinare da un vecchio backup. Già… i backup.

Tralascio qui il “pippone” sul fatto che alcune aziende nemmeno fanno backup o che se li fanno hanno una frequenza ridicola (una volta alla settimana), inoltre ti consiglio di leggere un nostro articolo che spiega dove mettere i dati aziendali

Facciamo finta che siamo in una azienda attenta che fa backup ogni giorno, proprio come uno dei clienti che mi ha telefonato. Peccato che se tali backup sono su una condivisione Fileserver/NAS visibile dai PC Windows, indovinate un po’?

Vengono Criptati anche loro.

E quindi? Riparto da zero o chiudo baracca?

No, ci sono due modi per riprendersi da una situazione del genere, uno più rapido ma con meno certezza del risultato e uno più lungo ma sicuro di riprendere tutti i dati backuppati.

Nel primo caso possiamo fare affidamento alle snapshot del nostro storage, in pratica “foto” prese dei nostri volumi con i dati in un certo momento nel tempo.

Chiaramente è necessario che la programmazione delle snapshot sia fatta con criterio sensato, ad esempio potremmo tenere la foto dei nostri volumi degli ultimi 3/4 giorni più una di una settimana fa e una di due settimane fa. Questo ci permetterà di tornare indietro in più punti nel tempo fin al momento più recente dove però non sia presente il cryptolocker.

Perché questa soluzione non ci da garanzia assoluta del ripristino?

Perché se ripristino in questo modo un file server o una macchina virtuale senza database interni dovrei riuscire senza problemi mentre in quest’ultimo caso (VM con database) il ripristino potrebbe essere inconsistente (tradotto il DB potrebbe essere corrotto).

Il secondo metodo invece risulta il più sicuro ed è anche semplice se ci pensiamo. Parlo di un backup (o una seconda copia) su di un supporto che non sia una condivisione windows (CIFS).

Il più emergente in questo periodo è l’object storage (S3 è un esempio), dove il repository per i vostri backup diventa raggiungibile solo con chiamate HTTPS e pertanto non è attaccabile da un cryptovirus (almeno per ora 🙂 ).

In questo modo avremo sempre la certezza di avere una copia dei backup utilizzabile

Se ti è piaciuto questo articolo entra in contatto con noi su Linkedin iscrivendoti alla pagina ITSTARS

Dario Bartolucci – ITStars