Tudatosan a biztonsági mentésről
August 1, 2020

Tudatosan a biztonsági mentésről

This post will be in Hungarian for my clients here in Hungary. There are plenty of good resources out there in English anyway.

Nem vagyok szakértő a témában, viszont pár tapasztalattal már gazdagodtam az elmúlt 26 év során, mióta számítógépekkel van dolgom, kezdve az első (és utolsó) komoly adatvesztésemmel, amit még a 2000-es évek elején szenvedtem el egy korrumpálódott merevlemez miatt. Az alábbi szöveget ezért ne vegye senki se szakmai tanácsként, ahogy szokták mondani, "konzultáljon háziorvosával" de legalább is az informatikusával a helyes mentési stratégia felállításával. Na de vágjunk bele...

A jó mentési stratégia három lábon áll:

(1) A sámli első lába: mentések készítése

a) Mentési terv

Ideális esetben legjobb tudatosan kitervezni, hogy miről milyen  gyakorisággal készüljön mentés. Ehhez jó egy risk analysis, amiben  leírjátok, hogy milyen veszélyforrások vannak, mi a valószínűsége, hogy  bekövetkezik bármelyik, és milyen lépést tesztek azért, hogy ne  követezhessen be, vagy ha bekövetkezik, lehessen a kárt minimalizálni.  Különböző veszélyforrások közé tartozhat a vírustámadás (de akár egy  windows 10-es frissítés is törölheti a vinyót - ez anyámmal történt  meg), hardver meghibásodás (ha egy SSD elszáll akkor arról nem fogsz  visszanyerni adatot, ez egyik ügyfelemnél történt), vagy betörés/rablás,  tűz, esetleg elégedetlen alkalmazott kiszereli a lemezt a gépből (ez  egy másik ügyfelemnél ez volt), stb. Olyanra is kell gondolni, hogy mi  van, ha nem veszed észre azonnal a problémát, mondjuk egy lemez lassan  kezd meghibásodni és csak egyes fájlok tartalma korrumpálódik, és ezt  csak hónapokkal később veszitek észre.

b) Mentések felállítása

A következő egy alap szintű de véleményem szerint kielégítő mentési stratégia magánszemélyek, vagy kisebb vállalkozások számára:

  • Legyen minden fontos gépről automatizált napi mentés egy hálózati merevlemezre. Ideálisan a hálózati lemez egy NAS eszköz ami Linux alapú OS-en fut és támogat hitelesítést, és  csak a mentést elvégző programnak szabad, hogy meg legyen a szükséges  hitelesítési infó az írásra. Egy ilyen hálózati eszköz kb 100e ft-nál kezdődik.
  • Továbbá havi gyakorisággal készüljön mentés egy külső tárhelyre - ez lehet egy külső vinyó, amit nem az adott helyiségben tárolsz, vagy egy online backup szolgáltató, akár ftp szerver, stb. Ha két NAS-od van, akkor ezt elég könnyű megoldani, mivel az ilyen eszközök (általában) alapból nyújtanak olyan funkcionalitást, ami lehetővé teszi az adat folyamatos vagy ütemezett mentését egy másik hasonló eszközre akár a neten keresztül is. Az egyiket otthon, a másikat a munkahelyeden vagy egy rokonnál helyezed el és beállítod a havi vagy heti szintű szinkronizálást.
  • Emellett a legfontosabb dokumentumokat érdemes feltölteni a felhőbe  is, akár google drive backup & sync-kel vagy Microsoft OneDrive-al,  vagy egy másik szolgáltatóval. Vírus támadás esetén az ott tárolt fájlok  is felülíródnak, viszont általában vissza lehet állítani a korábbi  verziókat, noha macerás.

(2) Mentések rendszeres ellenőrzése

Jó dolog az automatizálás, de előfordul, hogy valami megváltozik a  környezetben, vagy a mentés nem volt jól felállítva, vagy valami más okból mégsem készül el egy idő után a mentés. Ezért fontos egy élő embernek legalább havi egyszer ránéznie és ellenőriznie, hogy minden működik-e, ahogy kell.

Még jobb, ha pár havonta begyakoroljuk, hogy mit tennénk, ha  valamelyik mentésre szükség lenne. Tehát mondjuk kitaláljuk, hogy egy  pár adott fájlról kellene a 3 hónappal ezelőtti verzió - vissza tudjuk  állítani?

(3) Helyreállítási terv

Végül pedig ami majdnem olyan fontos, mint a jó backup stratégia: nem  elég felállítani a mentéseket, kell dokumentálni is az egészet. Kell  egy "helyreállítási terv" dokumentum, amiben le van írva, hogy miről,  milyen gyakorisággal, hova készül mentés, és hogyan lehet azt  visszaállítani. A tervben le lehet írni a mentés tesztelésének menetét  is. Ha nincs ilyenetek, vagy nem kaptatok az informatikusotoktól,  kérjétek meg, hogy írjon. Mert szép és jó, hogy az ő fejében meg van az  infó, de mi van, ha nem elérhető, vagy már nem dolgozik nektek, vagy a  helyreállításért egy vagyont kér el? Inkább legyen egy terv  dokumentumban leírva minden szükséges lépés, hogy akár ti is vissza  tudjátok állítani az elveszett adatokat.

Helyreállítási tervről egy remek blog postot írt Apáti Sándor, ajánlom mindenkinek!


És egy pár ijesztő anekdóta, amit személyesen hallottam:

  • A könyvelőm irodáját nem rég támadta meg egy ransomware vírus, a legtöbb gépen titkosította a fájlokat. Az informatikusuk több hónappal ezelőtt készített manuálisan mentést, ami ezerrel jobb, mint ha nem lett volna semmi! De így is több havi munkát kell most újból elvégezniük.
  • Egyik ügyfelemnél az irodavezető saját gépét támadta meg pár hónapja egy ilyen vírus. Egy emailt kapott, ami arra kérte fel, hogy frissítse a PDF olvasóját a kapott linken keresztül...nem kellett volna rákattintani. Sok évnyi fénykép és személyes fájl titkosítva lett. Elmondása szerint látta, ahogy a desktopján sorra megváltozik a fájlok kiterjesztése. Sajnos nem tette azt, amit ilyenkor azonnal kell: nem húzta ki a gépet azonnal a falból!
  • Egyik ügyfelemnél az egyik kedves kolléga, akinek nem tetszett, hogy megszűntetésre került a munkaviszonya, elég barbár módon (gondolom késsel vagy bicskával) kiszerelte a telephelyén használt laptolból a merevlemezt.
  • Egyik ügyfelem elmondása szerint az egyik sikeres vállalkozó ismerőse is pár hónapja ransomware áldozata lett, minden odaveszett, a kár felmérhetetlen.
  • Pár hónapja az egyik ügyfelemnél az egyik laptop egyik pillanatról a másikra leállt. Egy gyors teszt kimutatta, hogy az SSD lemez dobta fel a talpát. Semmit nem lehetett róla megmenteni. A régi, mágneses lemezeknél ez nem így volt, ott azért az esetek 99%-ban az adat jó része menthető volt ha sokba is került. Az új, elektromos SSD-knél és pen drive-oknál viszont ez gyakran nem így van: ha behal a kontroller, akkor azt csak olyan szakértelemmel lehet kicserélni, amiből nincs sok az országban, talán az egész világban. Ha pedig komolyabb elektromos kár éri, akkor még ilyen technikával sem lehet megmenteni semmit.
  • Külső merevlemezek és USB stick-ek rendszeresen el tudnak romolni! Erről annyi példám van, hogy inkább egyet se említek.

Apropó mit tegyünk, ha mégis rákattintunk arra a linkre, amire nem kéne, és rájövünk, hogy a gépünk fertőzött, és most titkosítja a fájlainkat egy ransomware vírus?

Nagyon egyszerű: azonnal húzzuk ki a gépet a falból. Laptop esetén, ha az aksit nem lehet könnyen eltávolítani, akkor (általában) a bekapcsoló gombot kell 10 másodpercig lenyomva tartani. És NE KAPCSOLJUK BE ÚJBÓL! A fertőzött lemezt ki kell venni, és a menthető adatokat kimenteni úgy, hogy rácsatlakoztatjuk egy "tiszta" gépre. Ehhez persze nem árt a megfelelő szakértelem és eszköz, így ilyen esetben jobb elvinni az egész gépet egy szakemberhez.

És ha bekaptuk, és nincs mentés, akkor utaljuk át a követelt BitCoin-t a megadott címre?

Hát ez jó kérdés. A legtöbb esetben nincs sok értelme, mert aki írta a vírust, ha egyáltalán még ő áll a megadott BitCoin fiók mögött, esze ágában sincs azzal bajlódni, hogy elküldjön neked valamilyen feloldó kulcsot. Ha pedig a vírus úgy van megírva, akkor egyszerűen nem is létezik ilyen kulcs, de ha volt is, az sose került elmentésre sehova.

Ugyan akkor emlékszem egy BBC cikkre, amiben azt írták, hogy egy Amerikai kisváros hivatalát támadta meg egy ilyen vírus pár évvel ezelőtt, és miután az FBI helyreállítási kísérletei kudarcot vallottak, kifizették a kért összeget és megkapták a visszaállítási kulcsot. De gondolom ott nagyobb összegről volt szó, mint amit általában kérnek az ilyen vírusok.

Talán a jövőben fel lehet törni az adott vírust és helyreállítani a titkosított fájlokat?

Erre sajnos nincs sok esély. Az első ilyen vírusok valóban úgy voltak megírva, hogy fix titkosítási kulcsot használtak, amit ha feltörtek, akkor a vírus által titkosított összes fájlt vissza lehetett állítani. Illetve volt, ami nagyon gyenge titkosítási algoritmust használt, amit "brute-force" támadással fel lehetett törni. De ez nem sokáig volt így. A korszerű titkosító vírusok publikus titkosítási algoritmusokat használnak, olyanokat, amiket a bankok is használnak egymás között, és a kulcsot dinamikusan, randomszerűen generálják. Tehát ha sikerül feltörni a titkosított fájljaidat, akkor az nagy problémát jelentene a világnak, mert az azt jelentené, hogy a banki tranzakciók és sok más információs csatorna, ami kritikus a világgazdaság működéséhez, már nem is lenne annyira biztonságos - és ez valószínűleg sokkal nagyobb gondokat okozna neked is, mint az elvesztett fájljaid (személy szerint ilyen esetben elég gyorsan megpróbálnám készpénzben felvenni az összes megtakarításomat!).

Tudatosan a biztonsági mentésről
Share this