понедельник, 21 августа 2017 г.

Архивы против вирусов-вымогателей (также известных как шифровальщики или криптолокеры), часть 1


Заметка сотрудника Библиотеки Стенфордского университета д-ра Дэвида Розенталя (David Rosenthal – на фото, см. также https://www.lockss.org/contact-us/dshr/ ) была опубликована на его блоге (DSHR's Blog) 6 июля 2017 года. Розенталь был одним из инициаторов проекта LOCKSS (от Lots of Copies Keep Stuff Safe - «Множество копий гарантирует сохранность»), осуществляемого Стенфордским университетом с целью создания системы с открытым кодом, позволяющей библиотекам собирать, сохранять и предоставлять читателям доступ к материалам, опубликованным в Интернете.

Архивы постоянно спрашивают: «Каким минимальным количеством экземпляров / копий мы можем обойтись?». Об этом я писал в блоге в 2016, 2011 и 2010 годах, сделав следующие выводы:
  • Количество необходимых копий имеет смысл обсуждать только в контексте конкретной модели угроз;

  • Серьёзные угрозы не поддаются количественному моделированию;

  • Защита от серьёзных угроз требует гораздо большего количества копий, чем защита от простых угроз, с тем, чтобы обеспечить «анонимность в толпе».
Я также уже писал ранее о чрезвычайно доходном бизнесе, связанном с использованием вирусов-вымогателей. Недавние события, такие как атаки вирусов WannaCrypt, NotPetya, а также сведения о способности американского Агентства национальной безопасности (АНБ – NSA) заражать компьютеры, не подключенные напрямую к интернету, должны любого убедить в том, что кибервымогательство представляет собой угрозу для архивов. Ниже я буду говорить о том, как следует проектировать архивы, чтобы они могли противостоять этой серьёзной угрозе.

Базовые сведения

Перед тем, как рассмотреть спектр средств защиты, которыми может воспользоваться архив, приведу некоторые базовые сведения об угрозе со стороны вирусов-вымогателей.

Что такое вирусы-вымогатели (ransomware)?

Ransomware - это класс вредоносных программ, которые, заразив систему, обычно ведут себя следующим образом:
  • Вирус ищет в сети другие системы, на которые он может распространяться, либо из-за наличия у них уязвимостей, которые вирус умеет использовать, либо вследствие того, что необходимые для доступа к этим системам данные есть в зараженной системе;

  • Вирус шифрует уникальным ключом все данные, к которым зараженная система имеет доступ на запись, и сообщает ключ и идентификатор системы в штаб-квартиру кибервымогателей;

  • Вирус информирует пользователя о том, что его данные были зашифрованы, и что ключ для расшифровки можно получить, заплатив выкуп - обычно через Биткойн.
Некоторые кибервымогатели (примером является Cerber) имеют безупречную репутацию обслуживания «клиентов», и если Вы заплатили выкуп, то с очень большой вероятностью получите ключ, который позволит восстановить данные. Другие действуют менее профессионально, и из-за ошибок в коде, некомпетентности или стремления обогатиться как можно скорее, могут принять платеж, но не захотеть или оказаться не в силах обеспечить расшифровку. Безусловно, уплата выкупа лишь поощряет бизнес криптовымогательства, который уже стоит, по некоторым оценкам, порядка 75 миллиардов долларов в год.

С точки зрения архива, криптовымогательство представляет собой угрозу, аналогичную другим формам внешних или внутренних атак, таких как действия недовольного системного администратора или катастрофическая ошибка оператора. Последствием заражения может быть полная потеря всех хранимых данных. Я использую вирусы-вымогатели в качестве примера угроз просто потому, что этот пример является актуальным и не вызывает сомнений.

Как распространются вирусы-вымогатели?

Меня спрашивают: «У архивов не так много денег, так зачем криптовымогателям на них нападать?». Это правда, что архивы являются менее лакомыми целями, чем FedEx, Maersk, SF Muni, Роснефть, WPP, британская система здравоохранения NHS и другие недавние жертвы вирусов-вымогателей. Но неверно думать, что эти вирусы всегда нацелены на «доходные» системы. Например, некая страна может счесть уничтожение архива другой страны подходящим способом выразить своё недовольство.

Как и в случае форм вредоносного ПО, заражение вирусами-вымогателями происходит не только нацеленно с помощью соответствующих средств, таких, как фишинговые письма, но и «наудачу» многими иными способами, включая веб-атаки посредством автоматически исполняемых программ, вредоносную рекламу, скомпрометированные системные обновления, а в случае WannaCry – через сетевую уязвимость. А с тех пор, как вредоносные программы начали использовать уязвимости из огромной коллекции АНБ (NSA), эти вирусы стали исключительно заразными. Стоит ему проникнуть в сеть, он, скорее всего, будет распространяться очень быстро.

Способы защиты

Рассмотрим теперь различные методы хранения данных с тем, чтобы оценить, насколько хорошо они защищают от криптовымогательства и связанных с ним угроз.

Хранение единственного экземпляра

Начнем с предположения о том, что в архиве в файловой системе на диске имеется единственная копия контента. Чтобы увидеть, что это небезопасно, нам не нужно поминать вирусы-вымогатели. Отказ диска будет означать утрату всего архива;  порча битов записанной информации, задевшая файл и/или его хеш, приведет к повреждению этого файла.

Зеркалирование диска

Одни из способов защиты данных -  выполнение каждой операции записи на двух одинаковых дисках, являющихся «зеркальными копиями» друг друга. В случае отказа одного диска, данные могут быть прочитаны с другого.

Однако когда один из дисков выходит из строя, данные больше не будут защищены до тех пор, пока система не будет отремонтирована. Безопасность данных зависит от того, заметит ли оператор отказ, заменит ли он неисправный диск и скопирует ли он данные с хорошего диска на диск, который заменит неисправный, до того, как произойдёт сбой хорошего диска.

Для хорошо администрируемых систем среднее время до выхода из строя диска велико по сравнению с периодами времени, в течение которых операторы налаживают систему, поэтому, если диски выходят из строя случайно и независимо друг от друга, то маловероятно, что с «хорошим» диском случится сбой во время ремонтно-восстановительных работ. Но увы, немалый практический опыт показывает, что существует существенная корреляция отказов. Например, повышенные температуры, вызванные отказом системы охлаждения, может привести к одновременному отказу дисков.

Зеркалирование диска не защищает от криптовымогательства; команды записи, используемые вредоносной программой для шифрования данных, попадают в обе половины зеркала.

Резервирование файловой системы

Другим распространенным методом является синхронизация мастер-копии с подчиненной копией, располагающейся в другой файловой системе на другом диске. В случае отказа мастер-копии, система может перейти на резервный режим, объявив подчиненное устройство новой мастер-копией и заставив оператора (в конечном итоге) создать новую подчиненную копию, с которой она может быть синхронизирована.

Хотя в этом методе вроде бы задействованы две файловые системы, однако процесс синхронизации обеспечивает быстрое распространение порчи мастер-копии (или шифрования, в случае вируса-вымогателя) на подчиненной устройство. Таким образом, данный подход не защищает ни от криптовымогательства, ни от деградации битов записанной информации. Кроме того, поскольку как основная, так и подчиненная файловые системы видны (и доступны на запись) одной и той же информационной системе, то в случае её компрометации они обе будут под угрозой.

Сетевое резервирование

Существует два способа резервного копирования данных по сети в отдельную систему, активный (push) и пассивный (pull). В первом случае данные записываются в сетевую файловую систему самой резервируемой системы. Это эквивалентно резервному копированию в локальную файловую систему. Вирус-вымогатель может писать, и, соответственно, шифровать данные в сетевой файловой системе.

Пассивный вариант резервного копирования (pull) лучше. Удаленная система имеет доступ на чтение к резервируемой системе, которая не имеет права на запись в сетевую файловую систему. Вредоносное ПО не сможет сразу же зашифровать резервную копию, однако процесс pull-синхронизации в конечном итоге перезапишет резервную копию зашифрованными данными, если его вовремя не отключить.

У зеркалирования и у резервного копирования коэффициент репликации равен двум; они потребляют вдвое больше ресурсов хранения, чем хранение единственного экземпляра.

(Окончание следует, см. http://rusrim.blogspot.ru/2017/08/2_22.html )

Дэвид Розенталь (David Rosenthal)

Источник: DSHR's Blog
http://blog.dshr.org/2017/07/archive-vs-ransomware.html

1 комментарий: