Qualche mese fa ho scambiato quattro chiacchiere con un professionista medio-grande della mia zona, ha uno studio con una decina di dipendenti e per la propria infrastruttura informatica si rivolgeva ad uno dei tanti tizi che ne capiscono presenti in ogni angolo di Italia.
Mi ha raccontato che il tizio che lo seguiva era in gamba e che quando un paio di anni prima il suo studio era stato vittima di un attacco ransomware il tizio si era recato tempestivamente a formattargli server e computer. In quell'attacco lo studio aveva perso tutti i dati.
Quando gli ho spiegato che se aveva perso tutti i dati è stata colpa del tizio che lo seguiva, è rimasto incredulo.
Si passi pure sul fatto che si è stati vittima di un ransomware, ma è inaccettabile perdere tutti i dati per la mancanza di una strategia di backup.
Ho fatto quindi presente al titolare che se dopo l'attacco tizio aveva ricreato la stessa porcheria, prima o poi avrebbero sicuramente perso nuovamente tutti i dati.
Ho infine consigliato al titolare di mettere in sicurezza la rete e il server e di progettare una Strategia di Backup e di Disaster Recovery.
Il titolare però si sentiva al sicuro perché riteneva improbabile subire lo stesso attacco a distanza di poco tempo.
Come era facile immaginare, nel giro di pochi mesi lo studio ha nuovamente perso tutti i dati a causa di un ransomware e qualche giorno fa il titolare ci ha contattati per farsi mettere in sicurezza la sua intera infrastruttura informatica.
Il tizio in pratica gli aveva solo venduto tanta costosa ferraglia senza mettergli nulla in sicurezza, senza realizzare una Strategia di Backup né tantomeno una strategia di Disaster Recovery.
Basti pensare che il tizio gli aveva venduto un DELL EMC Poweredge T440 con un solo disco, senza alcuna configurazione RAID nonostante i dipendenti utilizzassero dei Thin Client che archiviano i propri dati solo sul server. Assurdo!!!
Il tizio però aveva ben pensato di aprire direttamente su internet la porta RDP standard 3389 del server Windows dello studio per renderlo raggiungibile tramite l'indirizzo IP Pubblico Statico. Cose da pazzi!!!
Non è un caso se l'email principale dello studio tempo addietro era stata compromessa ed è stato possibile trovare online le credenziali di accesso.
Avere la porta RDP esposta direttamente su internet è un grave problema di sicurezza poiché l'RDP è ormai la il vettore più utilizzato per gli attacchi ransomware, ossia gli attacchi hacker che criptano tutti i dati presenti su una macchina per poi chiedere un riscatto in criptovalute.
Fino a qualche anno fa gli attacchi ransomware erano condotti con link fraudolenti inviati per email, oggi sono condotti tramite botnet che sfruttano la porta RDP.
Se al fatto di avere una porta RDP esposta direttamente su Internet si aggiunge il fatto che la connessione dello studio ha un IP Pubblico Statico, è facile capire che sarebbe stata solo questione di tempo prima che un nuovo attacco fosse riuscito ad andare a termine.
Una configurazione del genere non solo ha portato alla perdita dei dati dello studio ma ha anche causato la violazione del GDPR che impone di minimizzare il rischio di Data Breach.
Considerando inoltre la mancanza di una Strategia di Backup e di una Strategia di Disaster Recovery, non c'era solo il rischio di perdere irrimediabilmente i dati a causa di un virus/ransomware ma era forte anche il rischio di un fermo in caso di guasti che non avrebbe permesso di riprendere immediatamente a lavorare.
Purtroppo il titolare dello studio ha dovuto perdere per due volte in poco tempo tutti i dati della sua attività per capire l'importanza delle sicurezza informatica.
Per mettere in sicurezza la rete abbiamo segmentato la rete lan locale con una vlan dedicata per il server ed i client e abbiamo fatto utilizzare a questa vlan una seconda connessione wan con un nuovo indirizzo ip pubblico dinamico. Abbiamo inoltre creato delle reti Wi-Fi per gli ospiti completamente isolate dal server e dai thin client. Abbiamo infine protetto le due reti wan installando sull'OS homeware del modem-router Banip, un software che scarica quotidianamente liste di migliaia di ip di botnet e gli blocca l'accesso in modo da impedirne gli attacchi automatizzati, siamo arrivati a bloccare quotidianamente giornalmente oltre 250.000 IP. Nei prossimi mesi configureremo pfSense.
Per mettere in sicurezza il server l'abbiamo come prima cosa dotato di un RAID, lo studio aveva un ottimo server che a causa della pessima configurazione era utilizzato come un personal computer. Abbiamo configurato un RAID 5 di tre dischi da 3TB, in questo modo lo studio ha 6TB di spazio disponibile e i dati saranno salvi anche nel caso dovesse rompersi uno dei dischi. Usare i dischi in una configurazione RAID 5 significa per grandi linee creare un unico spazio di archiviazione unendo i dischi in modo da avere i dati replicati su tutti i dischi, questa è ovviamente una spiegazione semplificata al massimo. Il RAID DEVE essere usato su ogni server, non per nulla i server hanno la possibilità di alloggiare un elevato numero di dischi.
Dopo aver configurato il RAID per sfruttare al meglio il server e per realizzare una strategia di Disaster Recovery l'abbiamo configurato come Bare Metal, ossia una modalità che consiste nell'avere un particolare Sistema Operativo in grado di avviare simultaneamente diversi altri sistemi operativi e che può essere programmato per effettuare in autonomia il backup completo di tutti i Sistemi Operativi in esecuzione. Lo studio ha un unico server ma è come se ne avesse N quante sono le macchine virtuali avviate. In questo modo se qualcosa dovesse corrompersi a livello di Sistema Operativo si potrà ripristinare in pochi minuti il backup precedente e si potrà tornare a lavorare all'istante.
Il Sistema Operativo utilizzato per la configurazione Bare Metal è Proxmox, un Sistema Operativo di classe Enterprise basato su Debian e quindi completamente Open Source e gratuito.
Proxmox avvia due macchine virtuali, una con Windows Server ed una con Debian.
La macchina Debian eroga un File Server Samba, una VPN e gestisce la Strategia di Backup. La Strategia di Backup consiste nel backup automatizzato con versioning giornaliero-settimanale-mensile di tutti i tuoi dati in una zona del filesystem Debian inaccessibile (ad accesso riservato) in modo che se anche un virus-ransomware dovesse riuscire a penetrare la rete ed il server o in caso d'errore umano (come la cancellazione definitiva di file sbagliato), lo studio avrà sempre e comunque un backup aggiornato dei tuoi dati. LA VPN serve per accedere dall'esterno in maniera sicura al Server Windows tramite il protocollo RDP.
Proxmox gestisce anche l'UPS di rete ed il sistema di Monitoring/Alerting per Hardware e Software. L'UPS di rete permette al server di spegnersi correttamente in caso di mancanza prolungata di energia elettrica, il sistema di Monitoring/Alerting avvisa in tempo reale tramite email in caso di problemi con componenti hardware (con particolare attenzione agli hard disk), con programmi e in caso di tentativi di intrusione o accessi non autorizzati.
Abbiamo inoltre risolto anche altre piccoli casino che il tizio che ne capiva di informatica aveva creato allo studio.
Il tizio aveva registrato a suo nome il dominio web dello studio senza fornire i dati e le credenziali al titolare. Il titolare dello studio pagava quindi annualmente a tizio per dominio, host joomla e posta elettronica su dominio. Lo studio però non aveva mai avuto alcun sito web, inoltre il titolare pagava a parte la casella PEC con il dominio generico.
Abbiamo quindi risolto anche questo problema ed ora il titolare dello studio ha dominio con PEO su dominio e PEC su dominio, tutto molto più professionale e tutto registrato a suo nome.
E tu cosa vuoi fare? Anche tu vuoi aspettare di perdere più volte i tuoi dati prima di mettere in sicurezza la tua infrastruttura IT? Forse è meglio se ci contatti subito.
Aggiungi un commento