RansomWare e backup…

… Come evitare di restare senza dati, pur avendo dei backup!

Immagine con elenco parole inerenti danni possibili ad un computer

 


 

Il caso della regione Lazio, sta facendo allarmare molta gente, in questi giorni, ma la cosa che più mi dà da pensare, è il fatto che sento in giro una gran confusione da parte di persone che dovrebbero, invece, avere sicuramente una certa confidenza con uno strumento, che ahimè, pare ancora poco considerato ed usato: il backup.

Non che io voglia dire che la gente non sappia fare dei backup, ma vedo in circolazione delle soluzioni che, a volte, non hanno molto senso, visto che al momento di dover usare il nostro backup, per una qualsiasi emergenza, ci accorgiamo che il risultato finale sia che non riusciamo a recuperare i dati che credevamo di aver salvato!

Credo quindi serva fare un po di chiarezza su questo argomento.


Cominciamo con una definizione di backup: una definizione completa, e tecnica, potete trovarla sul sito Wikipedia italiano, cliccando qui.

Se non abbiamo voglia di leggerci tutto il Wiki, la definizione più veloce di backup è la sua traduzione più letterale, ossia copia di riserva. Nel nostro caso, va da sé, che la copia viene riferita ai nostri dati. Quindi un backup, personale, di solito include:

  • documenti personali;
  • musica;
  • immagini / video;
  • qualunque file riteniamo sia importante per noi.

Avrete subito notato che mancano, nel nostro elenco, sia il sistema operativo che i programmi? Non è una mancanza casuale, in realtà, questo perché esistono diverse tipologie di backup:

  1. di sistema;
  2. di database;
  3. di dati;
  4. di rete…

…e ce ne sono ancora di altri tipi. 

Chiaramente io qui non voglio discutere di backup di grandi realtà informatiche: esulerebbe dalle necessità della tipologia dei miei lettori abituali e richiederebbe un approccio decisamente più tecnico, che non è lo scopo di questo blog.

Voglio parlare invece dell’utente domestico, i cui dati importanti, di norma, sono i dati che ho menzionato nell’elenco, non ordinato, due paragrafi più su.

Sembra piuttosto chiaro che, prima di fare un backup, vada deciso che tipo di backup vogliamo fare: solo i dati importanti o dell’intero sistema? I tre maggiori sistemi operativi, ossia Mac, Linux e Windows, hanno tutti delle soluzioni, più o meno facili o articolate, per eseguire le nostre copie di backup:

  • rsync;
  • Time Machine;
  • copy.

Sono tutti sistemi validi, per eseguire una copia di backup dei dati per noi importanti.

Esistono, poi, soluzioni di tipo Open Source, Freeware, Shareware o commerciali; prodotti per fare backup di un singolo computer, o dell’intera rete di apparati in casa. 

Nessuno dei tre maggiori sistemi operativi da più la scusa, di non reperire il prodotto giusto per poter salvare i propri dati. 

Chiaro: se vogliamo una qualche forma di automatismo, si deve scegliere una soluzione più complessa, rispetto alle soluzioni di base, ma direi, senza tema di smentita, che al giorno d’oggi, nessuno, e ripeto nessuno, ha una buona motivazione per non aver copia salvata, dei propri dati importanti. 

Non scordate che sto parlando di utenti domestici: le aziende, addirittura, sono obbligate per legge ad avere delle copie di backup dei propri dati! Si ho scritto al plurale, perché le aziende debbono, addirittura, avere diversi tipi di copie, non solo una!

Quindi, una volta: 

  1. preparato un piano di backup;
  2. configurato il software;
  3. scelto il disco, o pennetta USB o un disco di rete, verso quali salvare i nostri dati;
  4. configuriamo ogni quanto eseguire il backup;

… Lasciamo che sia il programma a gestire il tutto, giusto? D’altronde il programma l’hanno creato apposta per risolvermi il problema senza dover impazzire nel farlo!

No: sbagliatissimo!


Questo genere di sequenza di operazioni poteva andare bene in passato. Ora che esistono virus in grado di colpire anche i device collegati ai nostri computer; si, si: proprio anche quelli che usiamo per fare i nostri amati backup, tra gli altri possibili device collegati!

Quindi come dovremmo operare? La scelta del software di backup chiaramente è il punto di partenza, per poter essere certi di non trovarci anche i dati salvati codificati da qualche virus

Laddove possibile, si deve cercare un software che permetta di smontare i drive destinatari, dei nostri backup, dopo aver terminato la copia. 

Nel caso di ripetizioni periodiche del backup, il software deve provvedere a scollegare i dischi, in automatico a fine operazione, e altrettanto in automatico, a rimontarli, quando serviranno per la prossima sessione di copia.

Sicuramente esistono software che permettono queste operazioni totalmente in automatismo, ma avranno anche dei costi piuttosto alti, per cui si rende necessaria una soluzione più alla mano per chi ha solo dei dati da salvare, periodicamente.

Se il software che preferiamo non ha queste capacità, dovremo provvedere noi a fornirgliele in due possibili modi:

  1. Creando degli script che montino i device necessari, eseguano il backup, e li smontino una volta terminato;
  2. Staccare fisicamente il cavo USB, o spegnendo il disco se ha un pulsante di accensione, a fine backup, e ricordandosi di ricollegarlo / riaccenderlo quando saremo pronti per la successiva sessione di backup.

Va da sé, che il primo punto richiede un minimo di conoscenza di programmazione della Shell che usiamo nel nostro computer: di certo non molti hanno queste conoscenze, per cui diventa poco fattibile applicare questo metodo per la maggioranza delle persone.

Il punto due, di contro, richiede meno preparazione tecnica, ma più attenzione a non scordarsi di eseguire periodicamente i backup dei nostri dati; indipendentemente dal tipo di backup che vogliamo fare, che sia di sistema o solo dei dati.

La cosa che deve entrare nell’ordine di idee, di chi necessita di una copia, è che, visto la proliferazione di casi di attacco con ransomware , i dischi di copia devono essere collegati (montati) solo mentre eseguiamo le nostre copie di backup.

Ora, per chi non sapesse come si comporta un ransomware, eccone, a grandi linee, il funzionamento:

  1. tramite una qualsiasi azione di circonvenzione, entrare nel computer da attaccare: può essere un link in una mail, può essere un apparente file condiviso, può essere incorporato in taluni file che siamo portati ad aprire, senza verificarli con un antivirus, prima di farlo;
  2. una volta infettato il vostro computer, la prima cosa che il virus farà, sarà cercare di trovare altri device —hard disk,  pennette USB o dischi di rete— collegati;
  3. terminato di creare un quadro competo, e preciso, della situazione dei supporti di memoria presenti e collegati, inizierà a fare il suo lavoro, ossia a codificare ogni singolo file, quasi sempre solo quelli di certe categorie, come documenti di testo, fogli di calcolo, immagini, musica e qualunque cosa possa sembrare importante per il proprietario del computer;
  4. l’ordine di solito è il seguente: prima i dischi esterni, USB e/o collegati via rete, e solo per ultimo il disco locale. Questa è una scelta ben studiata, per cercare di operare il massimo danno possibile, prima che il proprietario del computer si renda conto che qualcosa non vada come dovrebbe.

Alla fine del suo lavoro, il virus deposita un file, di solito nella radice del disco di sistema, in cui spiega che tutti i file importanti sono stati codificati con una chiave in possesso di chi ha infettato il computer. 

Di conseguenza, se volete la chiave per decodificare tutti i file, e tornare allo stato pre infezione, dovrete pagare un riscatto, quasi sempre attraverso delle cripto valute, che non sono collegabili direttamente a una determinata persona, quindi sicure per chi sta tentando di ricattarvi, con l’ordine perentorio di effettuare il pagamento entro una specifica data. 

Il messaggio, di solito, lascia anche dei link, a pagine in rete, che spiegano cosa siano le cripto valute, come procurarsene e come inviarle, nel caso non foste pratici di questo genere di moneta elettronica.

Ovviamente, se i vostri dischi di backup erano montati durante l’attacco, anche le vostre copie saranno inutilizzabili, in quanto codificati anch’essi!

Capite, ora, perché i dischi di backup non devono restare perennemente collegati (montati)? Perché se sono connessi al momento dell’infezione, anch’essi saranno danneggiati, e quindi resi inutili per il ripristino. Ripristino che, se possibile, vi salverebbe dal guaio procurato dall’infezione del ransomware steso.

Se i vostri dischi di backup non erano connessi (montati) al momento dell’attacco del virus, una semplice nuova installazione, pulita, del sistema operativo, e il recupero dei file dal vostro backup pulito risolveranno il problema piuttosto alla svelta, e a costo zero!

Mi è stato domandato diverse volte, da conoscenti: ’E se avessi fretta, o non avessi i backup, e pagassi il riscatto per levarmi dai guai velocemente?

Beh pagare il riscatto presenta, spesso, un rischio piuttosto alto, di essere vittime una seconda volta: la percentuale di attaccanti, che hanno davvero mandato la chiave di decodifica, a fronte del pagamento del riscatto, è molto, molto, molto bassa

Quindi rischiereste comunque di non avere più i vostri dati, e aver buttato dalla finestra qualche migliaio di euro: fate voi le vostre considerazioni, se valga la pena pagare, correndo il rischio di rimetterci anche i soldi, oltre ai dati!

Tenete a mente, in ogni caso, che meno l’attaccante entra in contatto —in modo informatico— con la vittima, meno è facile che venga rintracciato, per cui mandare la chiave di decodifica, resta un rischio in più, per l’aggressore. 

Solo in caso di cifre molto alte, l’attaccante rischia quel contatto in più, per costruirsi la fama di uno che mantiene la parola

Questo accade però, solo nei casi di attacchi a grandi/grosse strutture informatiche, come ministeri, aziende di un certo calibro, studi di avvocati, insomma realtà che vivono sui dati registrati nei propri computer.

Quindi pagare conviene? Se siete un utente domestico nel 99% dei casi no!

 Riepilogando

  1. Per reagire prontamente a un ransomware, si deve avere almeno un backup;
  2. Per avere un backup, che non sia stato infettato, il supporto su cui risiede, deve restare connesso (montato) esclusivamente il tempo necessario a eseguire il backup stesso.
  3. Ne consegue che la sequenza più corretta per fare un backup sia:
    • collegare (montare) l’unità di destinazione del backup;
    • eseguire il backup;
    • scollegare (umount) immediatamente l’unità su cui abbiamo effettuato il backup, terminata l’operazione di salvataggio.
  4. A seconda dell’importanza dei dati da preservare, conviene fare un piano di backup. Un piano di backup, per un utente domestico, potrebbe essere:
    • due unità su cui salvare i dati a giorni alterni;
    • due unità, da usare: 
      • la prima tutti i giorni;
      • la seconda una volta a settimana o quindicinalmente, o mensilmente; dipende da quanto spesso modifichiamo o aggiungiamo dati;
    • se siete proprio paranoici:
      • due unità fisiche (hard disk, pennette USB, dischi di rete) da usare come sopra descritto;
      • più una unità di rete esterna al domicilio in caso di disastri naturali, che possano danneggiare tutti i nostri supporti fisici.

Spero di aver chiarito un po’ le idee sulla necessità di avere backup aggiornati, e sull’importanza di non lasciare i dischi di backup sempre collegati al computer.

Se avete perplessità, o altri dubbi, segnalatemeli nell’area commenti sotto l’articolo: appena possibile vi risponderò in merito.

Buon Backup!

J.C.

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

Questo sito usa Akismet per ridurre lo spam. Scopri come i tuoi dati vengono elaborati.