Virů přibývá, situace houstne, chraňte svá data i v chytré domácnosti (úvod do testu Acronis True Image 2016)
Už delší dobu jsme se nevěnovali problematice virů, které napadají naše počítače. Dokud šlo jen o nezávazné hry jejich tvůrců, mohli jsme být relativně v pohodě. Poslední dobou ale tvůrci různých virů hodně přitvrdili. A tak poté, co mohou v rámci phishingu lovit data ve vašem počítači a ta pak používat třeba k neoprávněnému vniknutí na váš účet v bance. Přibývá i počet virů, které zcela zablokují váš počítač a až po zaplacení výkupného pak zase počítač odblokují. Co je ale nejhorší, množí se i cílené útoky na automatizační systémy. A to je průšvih. I váš dům je totiž vlastně ovládán automatizačním systémem.
Než se dostaneme k testu - podle našeho mínění nejlepšího současného zálohovacího a ochranného systému na trhu - Acronis True Image 2016, podívejme se nejprve na průzkum společnosti Trend Micro, která vydala výroční bezpečnostní zprávu Setting the Stage: Landscape Shifts Dictate Future Threat Response Strategies, která rozebírá nejvýznamnější bezpečnostní incidenty roku 2015. Analýza v ní potvrdila, že kybernetičtí zločinci jsou při útocích, počítačové špionáži i dalších protiprávních aktivitách stále drzejší, chytřejší a troufalejší.
Rok 2015 byl ve znamení on-line vydírání a kybernetických útoků, a to včetně úspěšných napadení několika velmi sledovaných organizací. Terčem zločinců s dopadem na milióny zaměstnanců a zákazníků se stala seznamka Ashley Madison, společnost Hacking Team, americký úřad Office of Personal Management nebo zdravotní pojišťovna Anthem. Loni měla ve Spojených státech amerických největší podíl na ohrožení dat ztráta zařízení a to v 41 % případů, na dalších příčkách se umístily malware a útoky hackerů.
Mezi nejvýznamnější zjištění patří:
- Skupina Pawn Storm a útoky využívající dosud nezveřejněných zranitelností: v roce 2015 bylo zaznamenáno přes sto tzv. zero-day hrozeb (dosud nezveřejněných hrozeb), z nichž některé využila skupina Pawn Storm při útocích na nejsledovanější organizace včetně americké obrany, ozbrojených sil NATO a několika ministerstev zahraničních věcí.
- Pronikání do Deep Webu: počítačoví zločinci začali v roce 2015 pronikat do tzv. Deep webu, který je pro běžné uživatele neviditelný. Tuto část internetu využívají jako kybernetické podsvětí, kde poskytují nelegální obsah a nabízejí prodej zakázaného zboží.
- Noční můra - chytré technologie: rok 2015 byl ve znamení nárůstu počtu útoků na chytrá zařízení a došlo k potvrzení jejich náchylnosti k bezpečnostním incidentům. Rizika spojená schytrými automobily přitom představovala pouze jednu z mála obav spojených s nástupem technologií IoT (Internet of Thinks, internetu věcí), jak ukázal i experiment společnosti Trend Micro s názvem GasPot.
- Angler, „král mezi exploit kity": Angler se v roce 2015 proslavil v souvislost se škodlivou reklamou na Adobe Flash a stal se nejvyužívanějším exploit kitem. Celkem tomuto kitu patří 57,3 procent využití exploit kitů a mezi země nejvíce postižené touto hrozbou patří Japonsko, Spojené státy americké a Austrálie.
- Data jako rukojmí: podíl ransomwaru využívajícího šifrování vzrostl v roce 2015 na 83 procent případů ze všech druhů ransomware. Nejčastěji variantou byl Cryptowall, který se do počítačů uživatelů dostává elektronickou poštou nebo stahováním škodlivého obsahu.
- Botnet DRIDEX: zablokování a eliminace notoricky známého botnetu DRIDEX přispěly k výraznému poklesu detekcí škodlivého software na území Spojených států amerických. Nicméně v důsledku toho, že je řídící infrastruktura hostována u providera nespolupracujícího sbezpečnostními orgány a díky tomu není reálně možné tuto hrozbu vymýtit úplně, došlo kopětovnému vzkříšení DRIDEXu.
Co s tím?
Poslední březnový den si připomeneme Světový den zálohování, tedy činnost, které většina lidí věnuje jen okrajovou pozornost. Přesněji řečeno většina těch, kteří ještě nikdy nepřišli o svá citlivá data. Kdo takovouto bolestnou zkušenost již někdy prodělal, ten jistě věnuje zálohování daleko větší pozornost. A to i přesto, že mohl přijít „jen" o svá osobní data jako jsou fotografie či e-maily a nikoliv o obchodní informace, a tedy pociťuje více emoční než finanční újmu. Představte si ale firmu, která díky ztraceným či nepřístupným datům musí zastavit výrobu a každá hodina prostojů ji přijde na miliony korun ztrát. Nebo poradenskou firmu, která má na svých discích uloženy důležité údaje svých klientů. Nebo systém pro ovládání chytré domácnosti, kterým ovládáte v podstatě všechno a který se po napadení stává nefunkčním. Tedy, aby bylo jasno, vše funguje třeba pomocí vypínačů nebo dveřních zámků, ale tento systém přijde právě o svou chytrost, nadstavbu sloužící ke zvýšení komfortu. Pokud je ale součástí takového domácího systému ještě ochranný a bezpečnostní systém, pak se můžete začít obávat.
Nejde ale jen o nějakou planou hrozbu: stačí porucha domácího serveru nebo - v případě firmy - s klíčovými konstrukčními výkresy či výrobními daty a neštěstí je na světě. Podle průzkumu společnosti Acronis se české firmy a organizace pod hrozbou ztráty dat nejvíce obávají právě selhání či poškození svých počítačů, tabletů a chytrých telefonů (77 %), krádeže či ztráty zařízení (48 %), neúmyslného smazání dat (44 %) a napadení malwarem (28 %).
Co je to ransomware?
I když napadení malwarem (zjednodušeně řečeno škodlivým a škodícím softwarem) není v tomto průzkumu vnímáno až tak fatálně, faktem je, že aktuálně se jedná o možná největší hrozbu. Stále častěji totiž dochází k napadení tzv. ransomwarem, tedy vyděračským softwarem, který po napadení počítačů a serverů zašifruje a tím znepřístupní data a je ochoten data odblokovat až po zaplacení výkupného. Upozorňujeme na to, že tento vyděračský software zablokuje všechny data na počítači, ale i na serverech, které v domácnosti nebo malé firma představují nejčastěji jednotky NAS, tedy jednotky externích síťových disků, připojených k domácí počítačové síti. Zablokují se ale i všechna externí média, která se připojují přes USB, tedy externí disky a flešky. Výkupné (nebo rovnou výpalné) může pohybovat v částkách od 500 do 1000 eur u malých firem, u větších a významnějších společností tato částka může narůst klidně až na 20 000 eur i více. Většina firem, a to zejména výrobních, nemá čas řešit technické detaily, a proto raději zaplatí.
Tohle všechno je jakási daň touze být připojeni k internetu po celé dny a v mnoha případech lidské zvědavosti poznávat nepoznané a v klíčových momentech jednat nelogicky. Toho právě využívají tvůrci malwaru spoléhaje na to, že třeba po obdržení ne správně česky znějící zprávy o tom, že jste se stali vlastníkem výhry v hodnotě několika set tisíc dolarů, jsou lidé schopni spustit přiložený program, aniž by uvažovali nad tím, že je zcela určitě nebezpečný, nebo vysypat údaje o své platební kartě včetně zabezpečovacího kódu ze zadní strany, aniž by uvažovali o tom, že žádná ze světových i místních bank nikdy nebude tyto údaje k ověření platnosti karty potřebovat. Následky jsou potom pro každého katastrofické.
Problémem je, že konkrétně před ransomwarem není prakticky žádná obrana - šíří se po e-mailech, webových stránkách a k jeho významnému nárůstu výskytu došlo také na sociálních sítích. Pracovníci, kteří ke své práci používají soukromé chytré telefony či tablety (v rámci BYOD - Bring Your Own Device, trendu, kdy zaměstnanci používají ve firmě, pro kterou pracují, i svá vlastní nositelná zařízení jako jsou smartphony, tablety a notebooky), rizika napadení ještě dále mnohonásobně zvyšují. Mnoho z nich není ochotno na své zařízení nechat nainstalovat ochranné bezpečnostní systémy, které používá firma, pro kterou pracují. A to je voda na mlýn výrobcům škodlivého softwaru.
Jedinou obranou proti ransomwaru je co nejfrekventovanější záloha firemních dat a schopnost jejich rychlé obnovy. Značnou a mnohdy rozhodující výhodou v tomto případě je využití imagingového zálohování, které dokáže vytvářet inkrementální zálohy třeba v hodinových intervalech. Tímto způsobem lze nejen eliminovat ztrátu zašifrovaných souborů, ale také minimalizovat množství souborů, které nebyly zahrnuty do poslední využitelné zálohy.
Výhodou je také možnost využití dat z cloudového úložiště. Pro výrobní firmy více než pro jiné platí zlaté pravidlo zálohování 3-2-1: tedy mít vždy k dispozici tři kopie svých dat, nejméně na dvou různých médiích a alespoň jedné lokalitě fyzicky mimo organizaci nebo dokmácnost, pokud pracujete doma (třeba jako OSVČ).
Konkrétní příklad napadení
Příklady napadení vyděračským softwarem se množí i v České republice. Například Armaturka Krnov, výrobce kulových kohoutů, šoupátek, uzavíracích a zpětných klapek a armatur pro klasickou i jadernou energetiku, nedávno čelila napadení Cryptolockerem, jedním z nejznámějších vyděračských virů. Armaturka generuje a uchovává velká množství dat v oblasti výrobních informací. Má podnikový informační systém, jenž řídí klíčové procesy a má rozsáhlou databázi projektové výrobní dokumentace, využívá na třicet počítačů propojených do doménové sítě. Data si uživatelé ukládají do síťových složek, které se každou hodinu zálohují. K zálohování a obnově dat se využívá cloudové řešení Acronis Backup Cloud.
Jedna z obnov proběhla za dramatických okolností, kdy se prostřednictvím počítače jednoho z uživatelů dostal na všechny dostupné disky, tedy i síťové složky, virus Cryptolocker. Ten zašifroval všechny soubory a tím firmě zničil životně důležitá podniková data. Situace by v případě, že by data nebyla zálohována, mohla mít pro firmu katastrofální až likvidační následky. Díky cloudovému zálohovacímu systému však měla tato hrozivě vypadající událost poměrně snadné řešení.
Administrátor záloh a správce sítě zvolili možnost obnovy celého stroje, vybrali z dříve uložených duplicitních záloh (data byla uložena současně v lokálním úložišti a v cloudu) tu, která měla být pro obnovení použita, a pak spustili proces obnovy. Za 3,5 hodiny byl celý server (cca 0,5 TB dat) obnoven a veškerý provoz Armaturky Krnov mohl pokračovat.
Co je třeba si uvědomit
Štěstí přeje připraveným, říká staré české pořekadlo, a tento případ je toho důkazem. Ale není vše zlato, co se třpytí! I když došlo k poměrně rychlému opětovnému zpřístupnění všech důležitých dat, je třeba počítat s tím, že podnik po určitou dobu „stál" bez možnosti přístupu k datům. Je tedy dobré vědět, že po čas „léčebného" nebo „obnovujícího" zásahu není možné přistupovat k jakýmkoli datům. A všechna data jsou přepsána daty ze zálohy.
Pokud došlo k odstávce po zásahu virovou infiltrací, bylo-li možné dál pracovat, data mohla být dále působením viru šifrována nebo jiným způsobem poškozena tak, že v návazném časovém úseku by je nebylo možné používat nebo se na ně spolehnout. Je tedy důležité uvědomit si, že proces obnovení vrátí celý systém do doby, kdy byla započata poslední záloha před napadením nebo aktivací viru v systému. Záloha započne v okamžiku jejího spuštění, kdy si zálohovací program vytvoří potřebná data a ta pak postupně uloží na záložní médium.
Důležité je i stanovení archivačních oken, tedy doby, kdy se záloha vytváří. Čím častější je tvorba zálohy, tím lepší možnost obnovy (protože mezi dvěma zálohami se nevytvoří tolik nových nebo neovlivní se tak velký počet souborů), ale i vyšší nároky na přenos dat v síti (používá-li se zálohování cloudové, i směrem do WAN, do internetu). To se může projevit i zpomalením sítě díky zmenšené prostupnosti dat díky přenosům obrovských balíků dat, určených k zálohování.
Důležité tedy je zvážit, jak často budete zálohovat, ale i jako formu archivace zvolíte. Pokud by se prováděla vždy celková archivace včetně aplikačních programů, které je možné instalovat z instalačních souborů (máte-li je zakoupeny, pak to není problém), opět roste balík dat a čas, potřebný pro archivaci.
Jako nejvhodnější se tedy jeví provádění inkrementální výběrové archivace. Zde se poprvé vytvoří celkový obraz záloh a pak se už zálohují jen po krátkou dobu přírůstky, tedy to, co se od minulé archivace změnilo a je třeba zálohovat. I třeba s vynecháním aplikačních programů. Pak takový zálohovací proces trvá jen chvíli a zatěžuje síť minimálně.
Je ovšem třeba počítat s tím, že proces opětného obnovení dat vzniklých inkrementální metodou zálohování bude trvat mnohem déle, než u úplné zálohy. Musí se obnovit prvně provedená celková záloha a z následných přírůstkových záloh obnovit nejnověji zálohovaný stav před kolapsem.
Výhodou imagingového zálohování je nezávislost na platformě a jde vlastně o ukládání bitové kopie jednotlivých dat, takže při opětovném obnovení se obnoví skutečně soubory bit po bitu tak, jak existovaly před kolapsem systému. Díky tomu lze získat stoprocentní obraz dat, jaký byl na počátku posledně provedení inkrementálního (přírůstkového) zálohování.
Pokud tedy nechcete riskovat nucenou odstávku a vymáhání peněz za odemčení dat, určitě nevynechejte v plánování rozpočtu na ICT položku zálohování. Výše uvedený „ostrý" příklad s dobrým koncem je totiž ojedinělý. Mnohem více jsou známy případy, kdy firma musela zaplatit výpalné, o těch se ale většinou nehovoří nebo - ještě lépe - hovořit ani nesmí, aby firma neztratila renomé pro neschopnost chránit svá data před útokem zvnějšku.
Zveřejněno: 27. 03. 2016
