PDA

View Full Version : Attacco al Lazio: la Regione ha recuperato il backup con i dati cancellati


Redazione di Hardware Upg
06-08-2021, 10:15
Link alla notizia: https://www.hwupgrade.it/news/sicurezza-software/attacco-al-lazio-la-regione-ha-recuperato-il-backup-con-i-dati-cancellati_99723.html

Il backup è stato recuperato grazie a un "sistema di ultimissima generazione, protetto da hardware", ha detto il presidente della Regione Nicola Zingaretti

Click sul link per visualizzare la notizia.

Silent Bob
06-08-2021, 10:33
avevo letto ieri che si parlava di dati "cancellati" ma non era ancora chiaro del tutto il discorso.

fraussantin
06-08-2021, 10:44
Il famoso backup nel cassetto chiuso a chiave?

cronos1990
06-08-2021, 10:46
Il famoso backup nel cassetto chiuso a chiave?Da quanto capito un backup che era stato eliminato e non criptato, e che sono riusciti a recuperare.

fraussantin
06-08-2021, 10:48
Da quanto capito un backup che era stato eliminato e non criptato, e che sono riusciti a recuperare.

Ah ecco la cancellazione rapida ... Mm
Speriamo bene allora ..


Peròo si tratta di una semplice botta di :ciapet:

SpyroTSK
06-08-2021, 11:22
Ah ecco la cancellazione rapida ... Mm
Speriamo bene allora ..


Peròo si tratta di una semplice botta di :ciapet:

Decisamente culo, bastava che avessero avviato il job di backup e avrebbero perso tutto.

Silent Bob
06-08-2021, 11:22
Ah ecco la cancellazione rapida ... Mm
Speriamo bene allora ..


Peròo si tratta di una semplice botta di :ciapet:

se la vai a raccontare a qualcuno che non conosce la storia pensa pure che lo stai prendendo per il cu*o.

Cioè, non riesci a criptare e allora cancelli sperando che qualcuno non se ne accorga?

Vediamo ora se tutto torna alla normalità, ma soprattutto entro quanto si ripristinerà tutto.

nyo90
06-08-2021, 12:03
Rabbrividisco al pensiero che il sistema di backup fosse in copia unica e collegato direttamente al server. RABBRIVIDISCO.
I backup si fanno su supporti fisici offline chiusi a chiave.
In questo caso avrebbero dovuto aprire l'armadietto con i nastri e ricaricare l'ultimo backup, dei 30 a disposizione, privo di malware. Su un sistema di test, prima di immetterlo sul sistema definitivo.
Qui hanno recuperato un singolo backup, per pura fortuna, e se ne vantano pure. COMPLIMENTI.
Il mio NAS ha sistemi di backup e sicurezza superiori a quelli della regione Lazio, a quanto pare.

Silent Bob
06-08-2021, 12:16
Il mio NAS ha sistemi di backup e sicurezza superiori a quelli della regione Lazio, a quanto pare.
Il fatto è che la maggior parte della gente che fa quel lavoro O gli frega poco, O non gli interessa O pensa che cose del genere non possa capitare.
Quindi tu, hai giustamente una gestione del backup superiore di quanto hanno molte società a quanto pare (almeno di quanto si legge in rete).

Io so solo che per via di questa roba è tutto bloccato, fino a lunedì a quanto pare.

aqua84
06-08-2021, 12:17
C è gia da essere contenti che C ERA UN BACKUP!!!

Battute a parte (ma nemmeno troppo battute...) qui c è chi parla di Nastri e chiusi a chiave... per caritá non metto in dubbio sia affidabile.

Ma sono sicuro che oggi ci sia modo di fare i backup in modo piu "semplice" e veloce.

Ovviamente bisognerebbe intanto capire bene COSA deve essere salvato dal backup, dopo di chè io farei dei backup giornalieri, fino a 7 giorni, su dispositivi diversi che vengono poi ovviamente scollegati a fine backup.

Questo significa che se venerdì prendo il ransomware anche mentre sto facendo il backup, ho comunque tutto giovedì salvato su un altro disco.

Raso a zero pc e disco di backup di venerdi e ricomincio da giovedì.

andy45
06-08-2021, 12:30
Il famoso backup nel cassetto chiuso a chiave?

Qui le parole ufficiali di Zingaretti: https://www.romatoday.it/attualita/attacco-hacker-lazio-archivio-dati-salvi.html

Pare che gli ingenti investimenti in sicurezza informatica della Regione Lazio siano serviti a qualcosa.

cronos1990
06-08-2021, 12:35
Peròo si tratta di una semplice botta di :ciapet:Sintetizzando... si :fagiano:

nyo90
06-08-2021, 12:40
Il fatto è che la maggior parte della gente che fa quel lavoro O gli frega poco, O non gli interessa O pensa che cose del genere non possa capitare.

C'è anche la casistica peggiore: Il capo ha letto "cloud" sul giornale e vuole tutto in cloud, compreso il backup. E te devi accontentarlo.

Battute a parte (ma nemmeno troppo battute...) qui c è chi parla di Nastri e chiusi a chiave... per caritá non metto in dubbio sia affidabile.

Ma sono sicuro che oggi ci sia modo di fare i backup in modo piu "semplice" e veloce.

No. Nelle grandi aziende, almeno quelle serie, il modo più semplice e veloce con l'affidabilità al top consiste nel fare backup su nastri magnetici, con dispositivi appositi, prendere i nastri e chiuderli in cassaforte, con uno storico backup di almeno 30 giorni.

Il nastro è più affidabile nel tempo, più economico(Un nastro IBM da 20TB costa 200€, un HDD da 20TB neanche esiste, ma un 18TB classe enterprise costa comunque 4 volte tanto) e non ti da problemi di semplicità e velocità, visto che esistono unità apposite a nastro per i backup e devi soltanto prendere le cassette e chiuderle in cassaforte. Se vai sul sito IBM puoi anche stimare la convenienza di un sistema backup a nastro https://www.ibm.com/it-infrastructure/resources/tools/storage-tco-calculator/ per una grande azienda.

I dischi ottici hanno poco spazio e si rovinano in fretta, oltre a essere molto lenti. I dischi magnetici sono delicati, molto costosi e non hanno la stessa affidabilità di mantenimento dati dei nastri.

Poi, prendere fisicamente il backup, scollegarlo e chiuderlo a chiave è l'unico modo certo che hai per non ritrovarti con i dati criptati(Come nel caso di un backup sempre online o peggio in cloud), per non rovinare i supporti e per essere certo che i dati siano inaccessibili anche in caso di personale poco onesto.

Altre soluzioni puoi valutarle solo in strutture più piccole. A casa, per esempio, uso alcuni vecchi HDD per avere uno storico di backup offline, e i dati più importanti mi premuro che siano fisicamente almeno in due posti diversi. Ma no ho bisogno di un backup giornaliero, non ho bisogno di così tanto spazio di archiviazione e non ho la convenienza nell'investire in un sistema a nastro. Quindi, nel complesso gli HDD sono stati più economici.
Ma è una soluzione molto casalinga

raxas
06-08-2021, 12:45
Qui le parole ufficiali di Zingaretti: https://www.romatoday.it/attualita/attacco-hacker-lazio-archivio-dati-salvi.html

Pare che gli ingenti investimenti in sicurezza informatica della Regione Lazio siano serviti a qualcosa.
interessanti le parole del Dottor Zingaretti :D
egli come altri (più che altro li vedrei come Amministratori di poli-condominio) nel suo ruolo devono avere un prontuario preparato in un lampo dagli assistenti (che potrebbe valere, indifferentemente, anche nel caso si parlasse di fagioli) e che digeriscono come l'aria, subito, prima di produrlo agli ascoltatori impazienti
:D

zephyr83
06-08-2021, 12:51
se ho capito bene in realtà hanno recuperato i backup cancellati e non criptati, praticamente la stessa cosa che mi è capitato anni fa formattando per sbaglio un hard disk esterni e recuperando (quasi) tutto stellar Phoenix ma esistono tanti programmi simili anche free come photorec/test disk. quindi gli è andata di culo perché non avevano criptato anche il backup ma solo cancellato, chissà perché poi

andy45
06-08-2021, 12:58
interessanti le parole del Dottor Zingaretti :D
egli come altri (più che altro li vedrei come Amministratori di poli-condominio) nel suo ruolo devono avere un prontuario preparato in un lampo dagli assistenti (che potrebbe valere, indifferentemente, anche nel caso si parlasse di fagioli) e che digeriscono come l'aria, subito, prima di produrlo agli ascoltatori impazienti
:D

Io sinceramente non ci trovo nessun significato in quello che ha detto, ha solo difeso il suo investimento in sicurezza informatica...che poi possa aver aiutato o meno lo sanno solo quelli che ci lavorano sopra, per quanto ne sappiamo noi possono benissimo aver tirato fuori un backup fatto sui floppy da 1.44 MB.

Silent Bob
06-08-2021, 13:02
quindi gli è andata di culo perché non avevano criptato anche il backup ma solo cancellato, chissà perché poi
che è quello che mi chiedevo io, magari dicono così perché c'è qualche altro motivo, ma qualunque supposizione uno vuol fare, non si saprà mai, o si saprà solo dopo qualche mese.
C'è anche la casistica peggiore: Il capo ha letto "cloud" sul giornale e vuole tutto in cloud, compreso il backup. E te devi accontentarlo.
è anche questa potrebbe esser molto più diffusa di quanto si immagini :D


No. Nelle grandi aziende, almeno quelle serie, il modo più semplice e veloce con l'affidabilità al top consiste nel fare backup su nastri magnetici, con dispositivi appositi, prendere i nastri e chiuderli in cassaforte, con uno storico backup di almeno 30 giorni.
io ricordo (e forse anche male che ne so), che dove lavorava mio padre (quindi almeno 15 anni fa, quando internet non era minimamente ai livelli attuali) si usava IoMegazip e molto probabilmente anche i nastri magnetici.
Quindi un doppio backup giornaliero per i dati importanti.
Cosa che, almeno penso io, dovrebbero far tutti.

PS: per quanto riguarda quel che hai scritto in firma, hai anche qualche meraviglioso intervento da leggere :D ?

barzokk
06-08-2021, 13:07
interessanti le parole del Dottor Zingaretti :D
egli come altri (più che altro li vedrei come Amministratori di poli-condominio) nel suo ruolo devono avere un prontuario preparato in un lampo dagli assistenti (che potrebbe valere, indifferentemente, anche nel caso si parlasse di fagioli) e che digeriscono come l'aria, subito, prima di produrlo agli ascoltatori impazienti
:D
LOL, LazioCrea :D :doh:

considerando che i dipendenti sono tutti assunti a chiamata diretta e indicati dalla politica. Una struttura elefantiaca che da quanto si evince dal bilancio regionale è costata all'erario, già lo scorso anno, 83 milioni di euro, così l'anno in corso e in previsione anche il prossimo. Da sommare, almeno per quest'anno altri 5,5 milioni di promozioni culturali.

All'attivo vanta almeno 1.500 persone che si dovrebbero occupare meticolosamente di attività tecnico-amministrative, informatiche e di strategia digitale

https://www.ilgiornale.it/news/politica/caso-laziocrea-porta-degli-hacker-doveva-gestire-1966832.html



PS:
e poi, il backup lo hanno recuperato loro, o i tecnici Dell ? :D
Virtual Tape Library (VTL) Introduction
A disk-based backup system, a virtual tape library (VTL) emulates physical tapes.
https://www.delltechnologies.com/it-it/learn/data-storage/virtual-tape-library.htm

Unrue
06-08-2021, 13:18
Cosa sarebbe successo se non fossero riusciti a recuperare i dati? Conseguenze pratiche? Sistema sanitario regionale collassato?

fraussantin
06-08-2021, 13:32
Cosa sarebbe successo se non fossero riusciti a recuperare i dati? Conseguenze pratiche? Sistema sanitario regionale collassato?

Sarebbero ripartiti da 0 con tutti i disagi per i pazienti e gli operatori.

Silent Bob
06-08-2021, 13:49
C'è comunque chi ipotizza che non c'è stato nessun recupero dei dati cancellati, ma che alla fine un "riscatto" sia stato effettivamente pagato, come ho letto su Twitter sembra un romanzo :D

E si spera che si adottino misure di prevenzioni migliori di quel che hanno fatto finora, anche se c'è sempre quel dubbio che faranno così per un periodo, e poi tornerà tutto in malora.

cronos1990
06-08-2021, 13:53
Per pagare un riscatto servono i soldi.

Parliamo della Regione Lazio, vero? :asd:

Silent Bob
06-08-2021, 13:55
Per pagare un riscatto servono i soldi.

Parliamo della Regione Lazio, vero? :asd:

il termine chiave è "ipotizza" :asd:

fraussantin
06-08-2021, 13:57
C'è comunque chi ipotizza che non c'è stato nessun recupero dei dati cancellati, ma che alla fine un "riscatto" sia stato effettivamente pagato, come ho letto su Twitter sembra un romanzo :D

E si spera che si adottino misure di prevenzioni migliori di quel che hanno fatto finora, anche se c'è sempre quel dubbio che faranno così per un periodo, e poi tornerà tutto in malora.

Vabbè che fare sparire soldi è la cosa che riesce meglio alla politica italiana , ma non penso che 5 milioni di euro a botta , convertiti in Bitcoin siano così facili da pagare senza metterli a bilancio

cronos1990
06-08-2021, 14:22
il termine chiave è "ipotizza" :asd::asd:

raxas
06-08-2021, 15:28
LOL, LazioCrea :D :doh:

considerando che i dipendenti sono tutti assunti a chiamata diretta e indicati dalla politica. Una struttura elefantiaca che da quanto si evince dal bilancio regionale è costata all'erario, già lo scorso anno, 83 milioni di euro, così l'anno in corso e in previsione anche il prossimo. Da sommare, almeno per quest'anno altri 5,5 milioni di promozioni culturali.

All'attivo vanta almeno 1.500 persone che si dovrebbero occupare meticolosamente di attività tecnico-amministrative, informatiche e di strategia digitale
...
io mi riferivo al comunicato politico... :D
non credo che un'azienda nel campo della sicurezza dati, digitali, possa essere una società di comparse come al cinema,
un minimo di competenza devono averlo... per quanto i casi in campo politico lascino pensare il contrario...
comunque questo "salvataggio provvidenziale", dei dati, potrebbe anche essere una copertura...
nascondendo, al bilancio, i 5milioni di euro o poco più del riscatto... non so come...
è una eventualità che, in campo ->produzione fatti politici<- :D :muro: :MURO: , non è impensabile...

ma potrebbe anche esserci stato un vero, insospettato, recupero di dati
E risulta un pò critico per la fiducia ad un'azienda che gestisce questi dati, questo tipo di dati, e la loro importanza, il non aver provato tutti i tentativi (ad esempio recupero da hd/s formattati, o infine da quella forma VLT, di cui non posso dire nulla) prima di dire che non c'erano backup :mbe:

magari in qualche meandro lontano dei loro millemila laboratori informatico-digitali "sparsi per il mondo", no, il lazio :D hanno trovato una copia, o il recupero affidabile di una copia dei dati...

alla fine potrebbe risultare che l'operazione dei criptocoinati è stata più trasparente, per quanto certamente illegale e da sciacalli che più che lavorare e vivere dovrebbero STRISCIARE, rispetto ai magheggi politici da "salvatori della sanità del lazio" occorsi...
:D :muro:

Silent Bob
06-08-2021, 19:31
Vabbè che fare sparire soldi è la cosa che riesce meglio alla politica italiana , ma non penso che 5 milioni di euro a botta , convertiti in Bitcoin siano così facili da pagare senza metterli a bilancio
ma chissà quanti soldi " a bilancio" si volatizzano qua e là, bitcoin o meno :D

SE fosse così li potrebbero sputtanare tranquillamente, sempre se avrebbero interesse a farlo, con 5 milioni stai sicuramente apposto per un bel pò di tempo.

:asd:
:D

[K]iT[o]
06-08-2021, 20:12
Ad ogni dichiarazione la storia diventa più tragica e grottesca.

Gringo [ITF]
06-08-2021, 21:11
Ricordiamo comunque che potrebbero dire di Aver Recuperato il "Backup Cancellato" come anche..... sotto sotto.... aver pagato, sempre politici sono chi fa le dichiarazioni al pubblico..

rattopazzo
06-08-2021, 21:20
Ma è stato davvero un attacco hacker o qualche idiota che ha aperto un allegato infetto di un email? :stordita:

Silent Bob
06-08-2021, 22:52
iT[o];47507473']Ad ogni dichiarazione la storia diventa più tragica e grottesca.

penso che anche chi è aldifuori di Roma conosca un termine:
"buttarla 'n caciara"

ecco, più storie tirano fuori, più caciara fanno.

homero
07-08-2021, 06:44
Ci tengo a precisare che i backup su nastro anche se virtuale prevede un ripristino sequenziale e totale dei dati per questo non potevano criptarlo inoltre per cancellarlo definitivamente dovevano sovrascriverlo cosa impossibile se non avendo accesso fisicamente all'hardware quindi non ė stata una botta se il backup fosse stato fatto su un file sistem ad accesso casuale su un sistema raid standard avrebbero criptato tutto...

fraussantin
07-08-2021, 08:41
Si tratta di un bersaglio istituzionale di alto livello con in più l’aggravante di un leak di informazioni considerate sensibili: risultano coinvolte figure politiche ed istituzionali di primissimo piano. Se si è pagato un riscatto, la trattativa non è certo stata portata avanti dalla Regione Lazio ma da uomini del governo tramite COPASIR, magari con il supporto dei servizi segreti: tutte entità in grado di accedere e disporre di fondi neri destinati proprio a queste o ad altre evenienze...per cui il fatto che non vi sia/sarà una voce di bilancio relativa a pagamenti in BTC non vuol dire nulla...e questo vale anche se tali dati dovessero in futuro comparire sul dark web...è possibile che il riscatto venga pagato ma che poi i cybercriminali infrangano l’accordo di "non divulgazione" per massimizzare il profitto dell’hack e, a questo proposito, sembrerebbe si trovino già in vendita i primi dati collegabili con la Regione Lazio (circa 800 account).

Gli hacker hanno tutto l'interessa a fare sapere che hanno riscosso per orgoglio ma anche per "rassegnare" le prossime vittime

Anzi non mi stupirei se dichiarassero di aver riscosso senza che sia veramente accaduto.

Secondo me non hanno pagato.
Troppa gente coinvolta , qualcuno che prima i poi spiffera capita. L'opposizione stessa e la stampa andrebbe a caccia di notizie.
Soprattutto poi se vogliono castigare quel poveretto di statale che prob non ha clikkato su niente , ma è stato solo preso di mira.

Far sparire 5M così sarebbe molto piu dannoso a livello politico che dichiarare la resa

magnusll
07-08-2021, 22:20
Confermo che i dati sono stati recuperati dalla VTL. Ve lo posso dire per certo.

FulValBot
07-08-2021, 23:07
E' uno scandalo, c'è poco da fare...

fanno ridere

frncr
07-08-2021, 23:28
Visto che lo afferma Corrado Giustozzi sono propenso a credere che abbiano effettivamente recuperato (per culo) un backup.
Mi viene anche una lacrimuccia pensando a quando, diecimila anni fa, mi insegnava a programmare in C dalle pagine di MCmicrocomputer...

Resta il fatto che è inammissibile una tale elementare vulnerabilità dei sistemi di enti così importanti, e resta il probabilissimo danno dei dati quasi certamente copiati dai criminali prima di cifrarli (quali e quanti?)

gatto23
08-08-2021, 11:00
Non credo a una sola parola di quanto scritto, sono stati pagato i bitcoin richiesti con i nostri soldi e sono stati decriptati i file.
Ora almeno speriamo abbiano capito la lezione...

zappy
08-08-2021, 14:37
Ma è stato davvero un attacco hacker o qualche idiota che ha aperto un allegato infetto di un email? :stordita:
la seconda che hai detto.

Ci tengo a precisare che i backup su nastro anche se virtuale prevede un ripristino sequenziale e totale dei dati per questo non potevano criptarlo inoltre per cancellarlo definitivamente dovevano sovrascriverlo cosa impossibile se non avendo accesso fisicamente all'hardware quindi non ė stata una botta se il backup fosse stato fatto su un file sistem ad accesso casuale su un sistema raid standard avrebbero criptato tutto...
:mano:

...Secondo me non hanno pagato.
...
concordo

Confermo che i dati sono stati recuperati dalla VTL. Ve lo posso dire per certo.
mi sembra anche ovvio in una struttura di quel tipo. I backup c'erano, evidentemente erano anche sufficientemente ridondanti e strutturati in modo coerente con la necessità di un disaster recovery.
a quanto ho letto, anche la "sovrascrittura" di una VTL è solo virtuale, nel senso che è appositamente pensato per NON sovrascrivere MAI realmente i dati, proprio per evitare episodi di questo genere.

raxas
08-08-2021, 17:41
... Se si è pagato un riscatto, la trattativa non è certo stata portata avanti dalla Regione Lazio ma da uomini del governo tramite COPASIR, magari con il supporto dei servizi segreti: tutte entità in grado di accedere e disporre di fondi neri destinati proprio a queste o ad altre evenienze...per cui il fatto che non vi sia/sarà una voce di bilancio relativa a pagamenti in BTC non vuol dire nulla...e questo vale anche se tali dati dovessero in futuro comparire sul dark web...è possibile che il riscatto venga pagato ma che poi i cybercriminali infrangano l’accordo di "non divulgazione" per massimizzare il profitto dell’hack e, a questo proposito, sembrerebbe si trovino già in vendita i primi dati collegabili con la Regione Lazio (circa 800 account).
che possano dire di aver recuperato un backup e questo sia vero, ok... e quindi che non hanno pagato il "riscatto"...
ma nel caso avessero dovuto pagarlo lo avrebbero detto? lo direbbero?

se poi ci sono questi dati di 800 "account" in vendita, potrebbe essere una ritorsione, o no :fagiano: , per non avere incassato i soldi
e comunque, anche con i dati recuperati, senza riscatto, potrebbe sorgere il problema successivo, della diffusione di dati (non autorizzati)
un problema ulteriore... non indifferente... :read:

zappy
08-08-2021, 20:21
che possano dire di aver recuperato un backup e questo sia vero, ok... e quindi che non hanno pagato il "riscatto"...
ma nel caso avessero dovuto pagarlo lo avrebbero detto? lo direbbero?

se poi ci sono questi dati di 800 "account" in vendita, potrebbe essere una ritorsione, o no :fagiano: , per non avere incassato i soldi
e comunque, anche con i dati recuperati, senza riscatto, potrebbe sorgere il problema successivo, della diffusione di dati (non autorizzati)
un problema ulteriore... non indifferente... :read:
1) l'opposizione ci andrebbe a nozze con una sbragata del genere, per cui direi che NON è stato pagato nulla, anche perchè è francamente inverosimile che strutture del genere non abbiano almeno una strategia di backup se non proprio un piano di disaster recovery.

2) fanno cambiare la pass a tutti i dipendenti e gli 800 account non servono più a nulla.

magnusll
08-08-2021, 21:22
mi sembra anche ovvio in una struttura di quel tipo. I backup c'erano, evidentemente erano anche sufficientemente ridondanti e strutturati in modo coerente con la necessità di un disaster recovery.
a quanto ho letto, anche la "sovrascrittura" di una VTL è solo virtuale, nel senso che è appositamente pensato per NON sovrascrivere MAI realmente i dati, proprio per evitare episodi di questo genere.

Le strategie di Disaster Recovery non ti salvano in casi come questi. Il DR ti serve per problemi fisici (es.: ti va a fuoco il CED) ma se il problema e' logico (dato corrotto o, come in questo caso, criptato) il DR per sua natura ti propaghera' la corruzione su tutti i siti secondari e quindi sei fregato comunque.

Premessa: quello che segue da qui in poi sono supposizioni. Ragionevoli, ma supposizioni, perche' non sono un esperto di questi oggetti specifici.

Il discorso e' che la VTL e' una libreria a nastro "virtuale" perche' i nastri in realta' fisicamente non esistono, alla fine i dati vengono scritti comunque su dei blocchi di dischi. Il punto pero' e' che ti mette a disposizione un' interfaccia che si comporta "come se" i nastri ci fossero. I software di backup compatibili con la VTL si aspettano un oggetto che si comporta come le vecchie librerie fisiche, quelle per capirci con il braccio robot che ti va a pescare la cartuccia con il nastro che ti serve, te la carica ecc.

Se tu scrivi dei dati su una libreria a nastro, non e' che puoi mandare un comando "ora criptami tutti i dati che hai". In linea teorica dovresti caricarti tutti i dati di un nastro, criptarli, poi sovrascrivere l' intero nastro con il blocco di dati criptati. Dopodiche' dovresti ripetere l' operazione per tutti i nastri della libreria.
Poiche' una qualunque libreria di dimensioni decenti puo' facilmente gestire migliaia di nastri, il problema di criptare l' intera libreria con il ransomware e' che:

A) ci mette una vita
B) si succhia una marea di risorse sui server che gestiscono il software di backup finche' l' operazione non e' conclusa

Questo significa che se c'e' qualcuno sveglio nel CED, si accorge che sta succedendo qualcosa di strano e magari fa in tempo a bloccare l' operazione prima che abbia fatto fuori tutto.

E' ragionevole supporre che il ransomware, in questo caso, "si limiti" a inviare comandi di cancellazione dei nastri virtuali scritti fino a quel momento, dopodiche' riprenda le normali operazioni di backup che pero' a quel punto scriveranno dati criptati perche' i dischi di origine sono stati criptati anch'essi.

Se questo e' quello che e' successo, si capisce anche perche' all' inizio hanno detto che "i backup erano stati anch' essi criptati" e perche' invece siano stati capaci di recuperarne uno in chiaro in un momento successivo: i backup rimasti erano quelli degli ultimi 2 giorni (31 luglio e 1 agosto) dopo che il ransomware si era attivato e aveva criptato i DB; ma facendo operazioni di basso livello sono stati recuperati i nastri virtuali cancellati e quindi il backup del 30 luglio che era l' ultimo "in chiaro".


Comunque torno a ribadire: vi do' per certo al 100% che i dati siano stati recuperati con un intervento tecnico. Se poi contemporaneamente in Regione stavano pagando il riscatto non posso saperlo, ma il recupero e' stato fatto senza pagare un centesimo.

*aLe
09-08-2021, 07:46
Le strategie di Disaster Recovery non ti salvano in casi come questi. Il DR ti serve per problemi fisici (es.: ti va a fuoco il CED) ma se il problema e' logico (dato corrotto o, come in questo caso, criptato) il DR per sua natura ti propaghera' la corruzione su tutti i siti secondari e quindi sei fregato comunque.Un buon piano di DR prevede anche backup offline separati dalla sede dove risiedono i dati (che se hai i backup su nastro IBM, come un utente giustamente proponeva qualche post addietro, ma poi li impili di fianco alla macchina di produzione, tanto vale non farli che almeno non perdi tempo).

Felice che questa cosa si sia risolta per il meglio, anche se... Qualche dubbio mi rimane sinceramente sull'affidabilità e sulla sicurezza di quel sistema informatico.

canislupus
09-08-2021, 08:52
Un buon piano di DR prevede anche backup offline separati dalla sede dove risiedono i dati (che se hai i backup su nastro IBM, come un utente giustamente proponeva qualche post addietro, ma poi li impili di fianco alla macchina di produzione, tanto vale non farli che almeno non perdi tempo).

Felice che questa cosa si sia risolta per il meglio, anche se... Qualche dubbio mi rimane sinceramente sull'affidabilità e sulla sicurezza di quel sistema informatico.

Beh cerchiamo anche di essere realistici.

Alcuni parlano di sistemi di backup efficienti come se si parlasse di casa propria... :D :D :D

Sapete che esistono anche dei tipi di nastri fisici chiamati WORM (Write Once Read Multiple)?

Sapete che esistono delle politiche di retention? che esistono delle logiche in cui alcuni nastri possono essere "marchiati" come utilizzabili solo una volta?

Normalmente si tendono ad usare approcci misti...
sia backup fisici che backup virtuali che Disaster Recovery (che in effetti servono per garantire la continuità del servizio, non un backup).

Non conosco nello specifico il sistema attuato in Regione Lazio, ma una buona pratica è quella di avere una utenza di servizio che si occupi di eseguire i backup e non permettere ad una utenza personale di avere accesso a tutto l'IT.

In gergo tecnico si chiama "hardening dei sistemi".

Non esiste che qualcuno possa fare TUTTO OVUNQUE E SU QUALSIASI RISORSA.

Un approccio di questo tipo denota una incapacità elevata.

Un po' come entrare in un sistema con una utenza amministrativa solo per guardare il desktop :D :D :D

Chi usa sistemi linux è ben consapevole come spesso si limitino i privilegi e ci si elevi all'occorrenza (poi vabbè... anche qui si fanno errori importanti).

Rimane quindi la domanda: "Perchè chi ha rubato le credenziali, ha potuto criptare indisturbato?"

P.S. quello che tu dici sui nastri IBM è valido in caso di distruzione del CED... ma non è un ragionamento valido in questo specifico caso... per mia esperienza posso dirti che normalmente i nastri da tenere vengono messi in cassaforte... quelli che servono solo per un backup giornaliero, normalmente vengono sovrascritti ogni X giorni

randorama
09-08-2021, 09:07
la vera domanda è: quanto hanno pagato engineering per pigliarsi la colpa?

Silent Bob
09-08-2021, 09:59
la vera domanda è: quanto hanno pagato engineering per pigliarsi la colpa?

io me ne faccio un'altra, quanto è improbabile che qualche attacco del genere non sia già pronto in altre regioni?

fraussantin
09-08-2021, 10:11
io me ne faccio un'altra, quanto è improbabile che qualche attacco del genere non sia già pronto in altre regioni?

Poco probabile che sia già pronto , abbastanza probabile che ci riprovino ma non penso qui in Italia perché spero che si faranno trovare pronti con un backup offline.

randorama
09-08-2021, 10:33
io me ne faccio un'altra, quanto è improbabile che qualche attacco del genere non sia già pronto in altre regioni?

bella domanda.
chissà quanto sono uguali (o diversi) i sistemi informatici delle diverse regione e le modalità per accederci da parte di chi non è in ufficio

Silent Bob
09-08-2021, 10:48
Ma ricordo male, o le prenotazioni per i vaccini si posson fare?
forse però non online se ricordo male
Poco probabile che sia già pronto , abbastanza probabile che ci riprovino ma non penso qui in Italia perché spero che si faranno trovare pronti con un backup offline.
pensi che questo sia stato anche una sorta di test oltre che un attacco vero e proprio?
bella domanda.
chissà quanto sono uguali (o diversi) i sistemi informatici delle diverse regione e le modalità per accederci da parte di chi non è in ufficio
infatti, dipende pure da chi viene gestita la cosa

magnusll
09-08-2021, 10:51
Un buon piano di DR prevede anche backup offline separati dalla sede dove risiedono i dati (che se hai i backup su nastro IBM, come un utente giustamente proponeva qualche post addietro, ma poi li impili di fianco alla macchina di produzione, tanto vale non farli che almeno non perdi tempo).


Questa e' la teoria. La pratica e' che quasi nessuno si tiene i nastri fisici in cassaforte per questioni di costi ed efficienza.

Primo: oggi usano quasi tutti le librerie virtuali perche' quelle fisiche costano uno sproposito anche solo di manutenzione della parte meccanica (il braccio robot).
Secondo: se la libreria e' virtuale, il nastro fisico da mettere in cassaforte non esiste.

Il problema puo' essere aggirato perche' ti puoi comprare una macchina che ti scarica un nastro virtuale su uno fisico (l'equivalente da datacenter del vecchio mangianastri). Lo colleghi alla VTL e ogni giorno ti scarichi i nastri virtuali con l' ultimo backup su un equivalente numero di nastri fisici. Ma e' comunque un costo, e aggiunge un carico di gestione non indifferente perche' inevitabilmente ci sono delle operazioni manuali da fare. Tenete conto che i backup ormai sono tutti automatizzati, li configuri all' inizio e poi vanno da soli. Intervieni solo se ti arriva un alert su qualche malfunzionamento.

In piu' ormai esistono soluzioni tecnologiche che bypassano il problema senza dover ricorrere alla cassaforte. Ad esempio esistono storage che ti mettono a disposizione snapshot sicure: le crei con una durata predefinita (es.: una settimana) e prima che arrivi la data di scadenza non e' possibile cancellarle, nemmeno se sei amministratore di sistema. Lo storage stesso rifiuta il comando di cancellazione della snapshot quindi un eventuale ransomware si attacca. Anche perche' quel tipo di snapshot non e' modificabile (se anche monti i dati della snapshot su un server per accedervi, e cominci a scriverci sopra, lo storage si crea una sua immagine interna con i dati modificati ma i dati della snapshot originale rimangono intonsi).

Comunque si, rimane il fatto che copie dei dati offline (in gergo si parla di "air gap", per evidenziare di come l' apparato che custodisce i dati sia sconnesso dal resto della rete) sia la soluzione intrinsecamente piu' sicura. Il mercato mette a disposizione soluzioni simili (anche notevolmente piu' strutturate del "metto i nastri in cassaforte"), ma tenete sempre conto che non sono ne' cosi' semplici ne' cosi' economiche.

andy45
09-08-2021, 10:55
Ma ricordo male, o le prenotazioni per i vaccini si posson fare?
forse però non online se ricordo male

Il sito delle prenotazioni online è stato rimesso online qualche giorno dopo l'attacco su altri sistemi.

fraussantin
09-08-2021, 11:04
pensi che questo sia stato anche una sorta di test oltre che un attacco vero e proprio?



No no , é stato un attacco , solo che é andato male.

Se provo a rapinare una banca con un metodo e mi va male non ci riprovo con lo stesso metodo nelle altre filiali .

Credo sia normale che se lo aspettino.

Probabile invece che lo facciano altrove.

Ma sono solo supposizioni .

An.tani
09-08-2021, 12:02
Quello che è ancora fumoso è come sono entrati:

un dipendente con accesso standard ha aperto un email fasulla appositamente confezionata ?

allora c'è qualcosa che non va nel sistema, l'utente standard non dovrebbe vedere neanche col binocolo i server con i database al massimo deve vedere la porta sui qui c'è il server che risposte alle query (se le applicazioni girano in locale) e neanche quella se l'applicazione è di tipo web hosted o similare

hanno scalato i privilegi ergo c'è qualcosa che non va... tipo NTLM attivo per far girare qualche applicazione obsoleta

l'email è stata aperta da un utente con privilegi amministrativi sul dominio ?
allora costui non sa fare il suo lavoro.

Silent Bob
09-08-2021, 12:22
No no , é stato un attacco , solo che é andato male.

Se provo a rapinare una banca con un metodo e mi va male non ci riprovo con lo stesso metodo nelle altre filiali .

Credo sia normale che se lo aspettino.

Probabile invece che lo facciano altrove.

Ma sono solo supposizioni .
possiamo solo supporre infatti, poi i vari metodi con cui son entrati (tralasciando il discorso inandempienza, scarsa conoscenza informatica, etc..)
è un discorso parallelo
Il sito delle prenotazioni online è stato rimesso online qualche giorno dopo l'attacco su altri sistemi.
almeno fino a ieri mi risulta che le prenotazioni non andavano, ecco perché chiedevo.

andy45
09-08-2021, 12:26
almeno fino a ieri mi risulta che le prenotazioni non andavano, ecco perché chiedevo.

Il sito è sempre stato accessibile, che poi le prenotazioni non andassero può anche essere per altri motivi, già su quello vecchio nei momenti di picco il sito arrancava un po' :).

andy45
09-08-2021, 12:31
Quello che è ancora fumoso è come sono entrati:

un dipendente con accesso standard ha aperto un email fasulla appositamente confezionata ?

allora c'è qualcosa che non va nel sistema, l'utente standard non dovrebbe vedere neanche col binocolo i server con i database al massimo deve vedere la porta sui qui c'è il server che risposte alle query (se le applicazioni girano in locale) e neanche quella se l'applicazione è di tipo web hosted o similare

hanno scalato i privilegi ergo c'è qualcosa che non va... tipo NTLM attivo per far girare qualche applicazione obsoleta

l'email è stata aperta da un utente con privilegi amministrativi sul dominio ?
allora costui non sa fare il suo lavoro.

L'utente in questione pare avesse privilegi amministrativi, ma nega anche qualsiasi responsabilità, visto che il pc a quell'ora secondo lui era proprio spento, quindi la ricostruzione dell'attacco non avrebbe un punto di partenza...comunque ora è tutto in mano ai tecnici, quindi vedremo se ha davvero qualche responsabilità o è stato semplicemente scelto come capro espiatorio di quanto successo.

Silent Bob
09-08-2021, 18:06
https://giffetteria.it/archivio/lagiff73.gif