Már NAS-okat is támadnak a zsarolóvírusok?

Jelen cikkünket az otthonitól a céges felhasználóig mindenkinek figyelmébe ajánljuk, aki NAS-t használ szerverként vagy éppen arra készül. Okos ember más kárából tanul és egy ügyfelünk NAS egysége nemrég számtalan tanulságot szolgáltatott számunkra, ami komoly intő jel azokra nézve, akik minden adatukat egy ilyen hálózati adattároló egységre bízzák. Ahogyan az alábbi cikkből kiderül majd nem is kell hozzá, hogy a gyártón kívül bárki komoly hibát vétsen, úgy is teljes adatvesztés lehet a történet vége.

Néha tűnhet majd úgy, hogy ez egy NAS ellenes cikk, de ezt az elején szeretném leszögezni, hogy erről szó sincs. Azt szoktuk mondani, hogy minden eszköznek, szoftvernek megvan a maga felhasználási területe. Ugyanígy igaz ez a NAS-okra is, vagy magyar nevén hálózati adattárolókra. Otthoni környezetben például egy ideális megoldás lehet média anyagok streamelésére, torrentezésre, de akár bizonyos biztonsági szempontok figyelembevételével fontosabb fájlok redundáns tárolására is kiválóan alkalmas lehet. Mivel vállalati környezetben éppen ez utóbbi a jellemző terület amire használják, így vagy nem felel meg egyáltalán a célnak vagy úgy nem, ahogy a felhasználása történik. Rengeteg olyan céget látunk, ahol fájl szerverként alkalmaznak ilyen eszközt, a legtöbb esetben mindenféle biztonsági óvintézkedést nélkülözve. Jellemzően két okból szokott ez történni, vagy sajnálja a cég a rendszerétől azt a minimális többlet költséget, hogy egy normális fájl szervere legyen vagy olyanra hallgat, jellemzően egyszemélyes BT-k vagy botcsinálta informatikusok tanácsaira, akiket bottal kéne elkergetni a számítógépek közeléből is. Aki ilyet ajánl anélkül, hogy legalább elmondaná milyen előnyei vannak egy normális fájl szervernek az nem ért ahhoz, amit csinál. Bármelyik eset is áll fenn az ügyfélnek mindkettő nagyon sokba kerülhet.

Egy szerződéssel nem rendelkező ügyfelünkkel esett meg nemrég az alábbi eset. Korábban egy igazi egyszemélyes Bt-t futtató IT szaki ajánlott neki egy remekül sikerült D-Link NAS-t, hogy tökéletes lesz nekik fájl szervernek. Egy ilyen eszközt csak ki kell kapni a dobozból, hálózatba kötni és pár alapbeállítás után könnyedén pár perc alatt akár már el is lehet kezdeni használni. Minimális munkával látványos eredményt lehet elérni és így egész szép pénzt is el lehet kérni érte. Nem tudjuk, hogy itt is ez volt-e a szándék vagy csak a hozzá nem értés hozta így, de ettől még sajnos ez így van. A lemezeket sikerült redundánsan RAID-be beállítani hozzá, így a hardver hibától már védve voltak az adatok, de az USB-s mentést, ami az egyetlen szóba jöhető helyi alternatíva volt (a felhőn kívül ugye) már nem állították be, az egy kicsit macerásabb volt. Amikor először találkoztunk az ügyfél rendszerével akkor egyből felmerült kérdésként, hogy miért nincs rendes fájl szerver, főként ha már több olyan funkció is felmerül (pl. biztonságos távelérés), amihez jellemzően szervert szokás használni. Ez volt az egyszerűb és olcsóbb, korábban ezt javasolták, így hát maradt ez. A mentés hiányára vonatkozó javaslat legalább elfogadásra került, így egy külső USB-s lemezre beállítottunk egy külső USB-s winchestert, amire a NAS egy gombos mentő funkcióját is konfiguráltuk. (Csak meg kell nyomni a NAS elején lévő gombot és mentést készít USB-re.) Aztán karbantartás és szerződés nem lévén magára maradt a NAS, amikor nyomkodták a gombot végezte a mentéseket. Illetve csak egy darabig csinálta, de ne szaladjunk ennyire előre…

Zsarolóvírus
Zsarolóvírus már NAS-ra is létezik!

Idén februárban megjelent egy új zsarolóvírus, ami egy teljesen új fejezetet nyit és egy egészen új módját mutatja be a támadási lehetőségeknek. A D-Link DNS-320-as széria NAS eszközeit támadja meg, nem is akármilyen módon. Egy szoftveres hibát kihasználva a NAS-on magát az eszköz firmware-ét fertőzi meg és szépen csendben minden rajta tárolt adatot titkosít. A fájlkiterjesztéseket sem változtatja meg, amikor végzett szimplán nem lehet a fájlokat többé megnyitni és a fertőzésre csak egy minden mappában elhelyezett TXT fájl hívja fel a figyelmet, amiben arra kérik a pórul járt felhasználót, hogy vegye fel velük chat üzenetben a kapcsolatot, ahol majd elmondják hogyan és mennyit kell fizetni az adatok visszaszerzéséért. Mentésre visszatérve, ilyenkor az utolsó szalmaszál lehetne, de mivel USB-vel fixen van csatolva jellemzően így a fertőzés azt is elintézi, ha esetleg nincs fixen csatolva akkor pedig a NAS-on garázdálkodó vírus tesz majd róla, amikor csatlakoztatják. Így a kör bezárult. Külön pikáns a történetben, hogy egy óriási biztonsági hibát elkövető, amúgy nagy nevű gyártó olyan szoftverrel ad ki egy ilyen eszközt, ami még a mentést sem tudja stabilan biztosítani. Beállítási lehetőség ugyanis nem sok van benne és miután néhány teljes mentést követően a külső lemez betelik szimplán nem fut le a mentés, amire semmi nem figyelmeztet. Igaz is, jelen esetben hiába, mert az ellen, hogy maga a NAS vírust kap már ez sem védene meg.

Felmerül a kérdés is, hogy hogyan kaphat vírust egy ilyen eszköz. Természetesen valamilyen szinten kint kell legyen az interneten, ha bármilyen távelérést vagy a nagyon népszerű felhős/privát felhős megoldásokat használjuk legalább a webes felület elérését biztosító protokollnak elérhetőnek kell lennie a neten. Normál esetben a gyártók folyamatosan adják ki a firmware frissítéseket a sebezhetőségek ellen, amiket ajánlatos is sűrűn telepíteni, jelen esetben viszont egyrészt nemrég adtak csak ki egy ilyet, azt sem minden modellhez, egyes modelleknek ugyanis több éve nincs már terméktámogatása sem. Ez tehát az első megjegyzendő tanulság, hogy nem elég beüzemelni egyszer, de a rendszeres karbantartás sem árt neki, a szoftverfrissítéseket érdemes időnként telepíteni, illetve a régóta nem támogatott eszközöket lecserélni, ha fontosak az adataink. Ezekkel a modellekkel kapcsolatban egyébként rengeteg cikk született a neten, különösen gyengére sikeredtek, maga a vírus is a webfelület sebezhetőségének segítségével jutott be root jogokkal, aminek súlyára nincsenek is szavak.

Egy NAS és egy Windows-os fájl szerver összehasonlításáról egy különálló, terjedelmes cikket lehetne írni, amire most nem szeretnék külön kitérni, de ígérem hamarosan egy külön cikkben ezt pótolni fogom. Gondolatébresztőnek most legyen elég annyi, hogy mindenki tegye fel a kérdést melyik rendszer a biztonságosabb, ahol a megosztott mappák eléréséhez a gépen le van tárolva egy könnyen visszafejthető jelszó és sok esetben minden gépen ugyanazt a név/jelszó párost használják vagy ahol a rendszer indításakor egy központi azonosítást követően jelszótárolás nélkül minden gép saját hozzáféréssel jelentkezik be. Azt hiszem nem kérdés, hogyha NAS-t akarunk fájl szerverként használni, akkor az leginkább egy otthoni hálózatot feltételez és nem vállalatit. Ha már vállalati felhasználás, kiegészítésként biztonsági mentés céljára egy rendes fájl szerver mellé remek megoldás lehet, amivel a fizikai elkülönítést is könnyedén meg lehet valósítani.

Végezetül lássuk pontokba összefoglalva milyen tanulságokat szolgáltatott nekünk a fentebb leírt eset, illetve miknek az együttállása kellett ahhoz, hogy a probléma létrejöjjön:

  • karbantartás hiánya (firmware frissítések elmaradása, a biztonsági mentés rendszeres ellenőrzésének hiánya*)
  • a feladatára nem megfelelő eszköz használata, illetve olyan NAS használata, amire már nincsen technikai támogatás (régi modell)
  • valamelyik támadható szolgáltatás (pl. webes felület) elérhető az internet felől – ezt gyakran nem lehet megúszni, de amit nem muszáj nem kell kitenni a netre
* A jelen problémára sajnos nem szolgáltatott volna ez sem megoldást.

Azért a cikk végére meghagytam a happy endet, mert bár a cégnek minden adata ráment a NAS hibájára végül a legnevesebb magyar adathelyreállító cég minden bitjét képes volt még visszahozni. Így mindössze néhány munkanap esett ki a cég életéből, amíg nem tudtak dolgozni és elköltötték egy rendes fájl szerver árának többszörösét a helyreállításra. Most van egy vírusos NAS-uk, de fájl szerverük még továbbra sincs. Az adatok viszont megvannak és a bűnözők sem jutottak bevételhez. Azért mindenki tegye fel a kérdést magának, hogyha egy ilyen most vele történik meg és netán a drága helyreállítás sem vezet eredményre, akkor mihez kezd utána?

Bővebb olvasnivaló a témában, angol nyelven: https://cybersguards.com/d-link-nas-devices-are-infected-by-new-cr1ptt0r-ransomware/

Újfajta átverős e-mail-ek terjednek

Adathalászat

Ügyfeleink igen nagy százaléka belefut a legújabb átverős e-mail-ekbe és naponta több megkeresést kapunk ijedt emberektől, hogy a gépük vírust kapott, illetve érdeklődnek, hogy lehet-e bármi alapja a zsaroló levélnek, amit kaptak. Most felfedjük a bűnözők új módszerének lényegét és megnyugtatunk mindenkit, az újfajta átverések teljesen ártalmatlanok, csupán a nyugalom megzavarására alkalmasak. Persze nem árt odafigyelni pár alapszabályra. Hasznos ötletek a cikkben.

Adathalászat

Fontos megérteni, hogy honnan szedik az átverős e-mail-ekhez az információkat, ugyanis gyakran olyan e-mail címre is érkezik, ami nem nyilvános vagy olyan információkat jelenít meg (pl. a felhasználó egy adott weboldalon használt felhasználónevét vagy korábbi jelszavát), ami alapvetően bizalmat ébreszt az emberben. Tényleg meghackelték a gépem? Röviden elintézhetnénk a választ azzal, hogy: nem. Mindenki nyugodjon meg, ez azért nem egészen úgy megy, mint az amerikai filmekben. Különböző vírusokat a gépre juttatva nem lehetetlen küldetés azért, és próbálkoznak ilyesmivel is, de egy biztonságtudatos felhasználó jó vírusirtóval felszerelkezve és pár szabályt betartva sosem fog ténylegesen áldozattá válni az ilyen bűnözők számára.

Átverős e-mail
Egy példa átverős e-mail-re

A bizalmat ébresztő adatokat ugyanis olyan weboldalakról, adatbázisokból veszik, amelyeket korábban feltörtek. Ha valaki például regisztrálva volt korábban egy olyan torrent oldalra, aminek a felhasználó adatbázisát hacker támadás érte korábban, így hozzájutottak az e-mail címéhez, felhasználónevéhez, de gyakran sajnos a fejlesztők hanyagsága miatt a kódolatlan jelszavához is, akkor nem csoda ha ilyen támadás éri rövid időn belül. Ilyenkor jó eséllyel arról kap majd egy levelet, hogy illegális tevékenységet folytatott (torrentezett), és valamilyen szerv nevében kap erről egy hivatalosnak tűnő értesítést, hogy fizessen be x dollárt különben nagy baj lesz. Ugyanez előfordulhat millió más oldal esetében, különböző féle témákban kaphatunk ilyen zsaroló/átverős leveleket. Fizetni pedig jellemzően Bitcoin-ban kell, ez ugyanis teljesen névtelen, nem tudhatjuk hol landol a pénzünk. Soha semmilyen hivatalos szerv nem fog Bitcoin-t kérni tőlünk, már ez ébresszen bennünk gyanút! Azt pedig könnyedén ellenőrizhetjük e-mail címünk megadásával, hogy valamilyen weboldal feltörése kapcsán juthattak-e hozzá adatokhoz hackerek: https://haveibeenpwned.com

Amennyiben saját e-mail címünket megtalálnánk valamelyik adatbázisban és a regisztrációnál olyan jelszót használtunk, ami esetleg az e-mail fiókunk jelszava is, úgy azonnal változtassuk azt meg! Az emberek többsége ugyanazt a jelszót használja mindenhova és így egy ilyen weboldal feltörésével nem csak az oldalon használt jelszóhoz férhetnek hozzá, hanem magához az e-mail fiókhoz is!

Ami még nagyon fontos, hogy gyakran ilyen levelekben képként másolják be a szöveget vagy raknak bele képi elemeket. Az Outlook nagyon helyesen letiltja ezeknek az elemeknek a megjelenítését, ugyanis a betöltésükhöz HTTP lekérésre van szükség, tehát egy külső szerverről fognak betöltődni. Ezzel viszont visszajelzést küldünk azoknak, akik az átverős levelet küldték, ez alapján fogják tudni, hogy megnyitottuk a levelet. Aki tehát spam levelekben letölti a képeket az gyakorlatilag visszajelez a támadóknak, hogy érdemes neki spam-eket küldeni, mert elolvassa őket. Ha gyanús levelet kapunk nézzük meg a feladót (ne a megjelenített nevet, hanem az e-mail címet), a tárgyat, illetve a levél törzséből ami a képek engedélyezése nélkül olvasható. Ha a levél törzse egyetlen kép és nem vagyunk benne biztosak, hogy azt megbízható forrás küldte inkább ne nyissuk meg. Ha a szövegből nem derül ki egyértelműen, hogy az spam levél, de nem értjük miért kaptuk (pl. mostanában gyakran küldenek áramszámlát is az EON nevében), mert nem vagyunk ügyfelei az adott cégnek, akkor vélhetően átverős spam-et látunk éppen. Legkönnyebben lebuktatni ilyen levelet úgy lehet, hogyha linket találunk a levélben, akkor rávisszük az egérkurzort és megnézzük alul a címsorban mit ír a levelezőprogram/böngésző. Pl. ha az EON-tól kapunk levelet, akkor az itt megjelenő weblap címben eon.hu kellene legyen. Vélhetően valami olyan oldal lesz, ami legfeljebb csak hasonlít az adott szolgáltatóra. Megszerzik a bankkártya adatainkat vagy a jelszavunkat és utána gyanútlanul továbbirányítanak a valódi weboldalra. A jó minőségű, adathalászat elleni védelemmel ellátott vírusirtók egyébként ez ellen is védenek minket.

EON átverős e-mail

Az átverős e-mail-ekkel kapcsolatban azt fontos még tudni, hogy egy szimpla szöveges, képet tartalmazó levélből vírust kapni nem lehet. Ehhez vagy csatolmányt kell megnyitni, vagy minimum egy weboldalt a levélben szereplő link alól. Ha ilyet nem tettünk, akkor biztosan nincs baj, szimplán dobjuk a kukába a levelet. Legyünk mindig résen, naponta jelennek meg újabb átverési kísérletek, de ezek mindegyike ellen lehet védekezni egy kis odafigyeléssel. Ezen kívül ellenőrizzük néha az itcikkek.hu oldalt friss információkért, a tömeges jelenségekkel kapcsolatban ugyanis eddig is és a jövőben is felhívtuk és fel fogjuk hívni az olvasók figyelmét.

Ügyfelek, akik a mi tűzfalmegoldásainkat választották

A PfSense tűzfalmegoldásokkal kapcsolatos cikk kiegészítéseként szerepeljen itt ez a rövid esettanulmány gyűjtemény, a benne szereplő cégek megnevezése nélkül, a kialakított infrastruktúrák főbb jellemzőivel.

PfSense

Egy igazi nagyvállalati infrastruktúra

Kezdjük mindjárt a legnagyobb művünkkel. 2017. végén kaptunk megbízást egy vidéki cégtől, hogy megoldást találjunk a szerver rendszerük gondjaira. Egy hatalmas projekt részeként egy komoly nagykapacitású Dell szervert vásároltak, ami a vidéki internet sávszélességek miatt egy budai szerver parkba került elhelyezésre. Itt alakítottuk ki a központi szerver rendszert, tartományvezérlőt és fájl szervert, SAP adatbázis szervert és egy terminal server kiszolgálót (RDS-t), aminek eléréséhez elengedhetetlen volt egy nagy megbízhatóságú és magas biztonsági szintet nyújtó tűzfal megoldás. A választás ezúttal is a PfSense-re esett, a pesti központban szorítottunk neki helyet a nagy Dell szerveren virtuális gép formájában, ami Hyper-V alapokon fut immáron közel másfél éve, megbízhatóan. A központi telephelyre aztán IPSec alapú site-to-site VPN megoldással összekapcsoltuk a hálózatokat, így elérhetővé vált a címtár, az SAP és néhány tűzfalas trükknek, illetve DNS beállításnak köszönhetően a terminal server szolgáltatásait is kizárólag az IPSec kapcsolaton keresztül érik el. A rendszerbe becsatlakozó bolt hálózat mind a 4 telephelyére beszerzésre került egy Dell Optiplex desktop gép, új i3-as processzorral (a hardveres kriptográfiai képességei miatt), 4GB memóriával és az elérhető legkisebb, 500GB-os merevlemezzel. A központban gigabites sávszélesség áll rendelkezésre, a telephelyeken jellemzően 20-50MBit közötti kapcsolatok, így a központi tűzfal és a telephelyeken lévők is megbírkóznak a legmagasabb AES típusú titkosítás mellett is a feladatokkal. Mivel egy telephely kivételével (ahol a másodlagos domain controller lakik) nem áll rendelkezésre a címtár, ezért az üzletek telephelyein különféle DNS trükköket (feltételes továbbítás, host és domain override, stb.) kellett alkalmazni, hogy mindenhol működőképes legyen a tartományi bejelentkezés.

Telephelyek közti VPN megoldás

A második legnagyobb

Nemrégiben kaptunk felkérést szintén egy nagyobb vidéki cégünktől, ahol a rekord 640 napos uptime-mal rendelkező tűzfalunk üzemelt eddig, hogy építsünk nekik valami hasonlót, mint a másik ügyfélnél, mert több telephelyes céggé alakulnak. A megoldásuk nagyon hasonló a másik vidéki cégéhez, egy pesti szerver parkban elhelyezett gépen virtualizálva található meg a központi PfSense rendszer, ahova a többi telephely tűzfalai csatlakoznak be IPSec megoldással, a központban lévő szerverek pedig szintén egy virtuális Hyper-V LAN-on találhatóak, ahol csak a PfSense tűzfalon keresztül lehet őket elérni. Emellett náluk még jelen van kétféle OpenVPN konfiguráció is, illetve a másik cikkben már részletezett geográfiai szűréseket is alkalmazzuk.

Tűzfal URL szűréssel

Egyik ügyfelünknél a már megszokott geográfiai szűrés mellett szerették volna a felhasználók gépein a netezést is szigorítani, letiltani például a közösségi oldalakat és egyéb nem kívánatos szolgáltatásokat. Mivel már korábban is fix IP-vel rendelkeztek a hálózaton a gépek, ezért a squid+squidguard csomagok használata mellett döntöttünk, amivel egy transzparens proxy megoldást alkottunk. Ezen beállításra került egy VIP és egy nem VIP csoport, amikbe belepakoltuk a fix IP címeket és ez alapján legyártottuk az ügyfél kérésére az URL szűrési szabályokat.

Vidéki önkormányzat törvényi megfeleléssel

Egy vidéki hivatalban a korábban kiadott törvényi előírásoknak megfelelően kellett kialakítani a hálózat biztonságát. Természetesen a PfSense rendszer tudásában minden szigorú feltételnek meg tudott felelni, még ha nem kevés munkaidőt is igényelt egy ilyen bonyolult rendszer kialakítása. Köszönhetően a számos VLAN-nak, a nagyon szigorú tűzfalszabályoknak, a Radius-alapú WIFI hálózat követelményeinek, a pluszban beszerelt 4db hálózati kártyán futó összesen kb. 8 hálózati szegmensnek.

Komoly OpenVPN szerver hardveres tűzfal mellett

Szintén egy vidéki ügyfelünknél került beüzemelésre egy komoly titkosítással bíró OpenVPN szerver, ahol a PfSense Hyper-V virtuális gépként fut, rajta összesen 5db VPN konfigurációval. Ezek közül 2 a régi mobileszközök komptibilitásának biztosítására lazább titkosítással, helyi adatbázisból történő hitelesítéssel működik. A másik 3 esetében LDAP alapú hitelesítést alkalmaztunk, ahol az Active Directory címtárban lévő különböző biztonsági csoportok tagsága alapján dönti el a rendszer egy-egy felhasználóról, hogy engedélyezi-e számára a hálózathoz való hozzáférést. A csatlakozást követően mind az 5 OpenVPN elérés esetében külön hálózati szegmenseket hoztunk létre, amelyekből a forgalom korlátozásra került, aszerint hogy melyik hálózatból érkezik a kliens csak a neki szükséges szervereket és portokat éri el.

Boldog ügyfél

A legtöbb ügyfelünk tehát sima csomagszűrő tűzfalként, vagy OpenVPN szerverként használja ezt a megoldást, ugyanakkor a fentiekből is látszik, hogy komoly, nagyvállalati megoldásokat is lehet belőle építeni némi szaktudás birtokában. Gyakran felesleges pénzkidobás megvenni a méregdrága nagyvállalati megoldásokat, mert a szükséges vagy a használandó szolgáltatások ugyanolyan minőségben elérhetőek ingyenes, Unix alapú tűzfalrendszereken is. Forduljon hozzánk bizalommal hogyha olcsó, de megbízható és biztonságos megoldásra vágyik vagy csak szeretné cégének megtalálni a legoptimálisabb megoldást.