Как нас взломали... или уносите бэкапы на флешке домой⁠⁠

Увы и ах, полную безопасность не в состоянии обеспечить никто. Ну значительно улучшить безопасность можно. Я работаю админом в компании, оказывающей доступ в сеть Интернет, посему как настроить сеть в офисе, разграничить права пользователей в разных отделах, как объединить сети двух офисов, как настроить разного рода сервачки, настроить удаленный доступ и отказоустойчивую работу я знаю. Да и делал разным компаниям за все время работы всякое (в виде подработки на стороне): бывало настраивал Wi-Fi на Ubiquiti с авторизацией по ваучерам в кафе, одной конторе удаленный доступ для некоторых важных работников и залатал дыры в безопасности - задача одного-двух часов, было дело настраивал одной компании IP-телефонию и частенько настраиваю видеонаблюдение последнее время. Ну и так компы обслуживаю, если позвонят - консультирую, диагностирую, чиню и т.д.

Беру - по-разному. За аудит безопасности и устранение дыр с этих двух офисов взял бы тысяч 15-20 я думаю. Зависит от того, сколько у них рабочих станций, сколько серверов на которых крутися их БД, видеонаблюдение может и т.д, насколько велика их IT-инфраструктура в общем, да и какие требования у них в работе и взаимодействию в сети. Но в данном случае не требуется особо больших знаний. Настроить VPN сеть между двумя офисами - задача не такая уж сложная - OpenVPN в руки (ну или можно использовать L2TP/IPSec) - уже даже ламеры знают как VPN настраивать. В каждом из офисов настроить коммутаторы, скажем разграничить отделы в локальной сети по vlan, поставить squid на выходе, порезать доступ к разного рода социальным сетям и прочему, настроить рабочую станцию каждого пользователя исключительно под его задачу и т.д. все это задачи довольно простые и это работа админа, для этого нанимают человека который должен тщательно и педантично подойти к своей работе. Но ничего сверхъестественного не требуется. А вообще, зачастую чтобы улучшить безопасность в первую очередь пользователям нужно быть более ответственными и немного думать перед теми или иными действиями. Вот даже на примере этого поста - злоумышленники ведь НЕ ВЗЛОМАЛИ сервер, они просто сбрутили пароль. Брутфорс это не взлом. Они не эксплуатировали какие-либо уязвимости. Поэтому будь пользователь умнее выбрал бы хороший пароль и усе, проблемы бы не было. Но это не отменяет того, что дыра в сети должна быть залатана. И да, вопрос у меня как они получили повышение полномочий при установке своего ПО, и почему ничего подозрительного не заметил Каспер... хотя вполне возможно что они сбрутили админскую учетку... Вот такие рассуждения.

не надо никому ничего объяснять, есть такое понятие как групповая политика, плюс от брута тот же KIS должен был защитить, если опять же настроен хоть мало-мальски

Да, в принципе, вероятность шифрования сохраняется, пока диск не отключен. Но ведь ничего не мешает использовать напрямую UNC пути прямо в батнике...

К слову, есть написанные уже неплохие консольные утилиты, вроде robocopy, или copymik, которые умеют очень многое.

В банках, где я работала (я не работник банка, но иногда работаю на их территории), всегда usb-порты отключены злобным админом. И ящитаю, это правильно.

Но нам давали доступ по письменному заявлению и обоснованию необходимости. Если не давали, то как минимум разрешали воткнуть флешку в комп начальника ИТ и скинуть нужные доки в какую-то выделенную папку.

И еще флешки были защищены на запись - то есть своей инфой поделиться можешь, а секретики банка сохранить - уже нет.  

Это сервер? Он доступен из интернета? Тогда попытки атаки на конкретное приложение, типа sql-инъекций и известных уязвимостей. На серверное ПО, типа пуделя. Всякие там атаки нулевого дня. Если очень ценная информация, а хакер очень квалифицированный и упорный - самому найти уязвимость. А можно ломануть разработчика популярного ПО\стать им, и сознательно сделать уязвимость.

Сервер один? Или связан с десятком других серверов? Плюс - еще пачка старых, тестовых, неактуальных серверов? Побочных проектов, где можно найти ключик, файл паролей для расшифровки... какую-нибудь информацию для социальной инженерии...

Довольно сложно и маловероятно, но можно ломануть провайдера, чтобы слушать траффик. Ломануть (воспользоваться моментом, когда найдена уязвимость) центр сертификации, чтобы стать мэном ин зе мидл.

Обновляете ПО? Можно попробовать атаковать, или если есть доступ к каналу - подменить ваш любимый репозиторий.

У этого сервера есть админ - можно попробовать ломануть непосредственно его тачку - см. п. "это комп?"

Это комп(в этой области я слабоват)? Тогда можно атаковать непосредственно wifi-сеть. Захватить роутер, а дальше - снифать траффик, подменять обновления.

Можно письмо\страничку вредоносную прислать. Флешку в нужном месте потерять. Слышал - в мультимедийные файлы вредоносный код встраивли.

Ну и не забываем про социальную инженерию. Представиться охраннику представителем обслуживающей\контролирующей организации. Тут тоже подготовка нужна, чтобы все выглядело правдоподобно, но тоже все выполнимо.

Если это забетонированный сейф с выключенным сервером на дне морском - воспользоваться тем, что за дном морским намного хуже следят, спуститься и делать свое грязное дело хоть год.

Вообще, вариантов много. Все они сложные, маловероятные(если нет откровенных ляпов), но из-за того, что их много и их можно комбинировать, а один открывает доступ к другому - это реально.

Ставим Линукс

можно еще отказаться от компьютеров и вести все на бумаге

Виндовс, "белый список".

Программа минимум выполнена.

вот только на десятке не знаю. можно ли такой финт провернуть? В хр можно было.

Я на своей рабочей машине, когда-то ставил "чёрный список". Забавно было наблюдать, когда народ пытался с флешки фигню запустить.

А знаешь как выглядит то, что ты сказал, для рядового пользователя?
Ставим что-то, создаём какие-то группы и пользователей, что-то там с правами решаем, настраиваем непонятную вещь, ставим фильтр между интернетом и машиной на трафик от какого-то там брутфорса, что-то делаем с портами и что-то ещё. Проще говоря, ничего не понятно

Бэкапы на внешние диски и облако?

я все свои проекты держу на битбакете если вдруг с компом чтото случится мои труды не потеряются Меркуриал с гитом великая вещь знаете

А если я фрилансер - и у меня старых проектов уникальных за 20 лет работы + ещё текущие?

Так себе ты фрилансер, если синхронизацию с облаком настроить не можешь, и проекты хранишь локально, а не в гите.

UNC пути. Вида \\server\folder\folder.

Все шифровальщики настроены на заражение дисков ПК, и им совершенно до лампочки ибо сканируют систему они от А до Z. Соответственно под угрозу попадают все диски ПК и буквенные шары, ведь доступ к ним можно получить задав путь Z:\, система интерпретирует их как системные диски, для удобства пользователя. Ссылки же не являются системным объектом. Это просто файл, внутри которого находится информация об условном (относительном) пути к сетевому объекту. Тут для шифровальщика возникает проблема, конечно же можно сканировать ярлыки и искать в них ссылки на объекты. Но это гораздо труднее нежели пробежаться по буквенным ссылкам. Ибо расположение объекта не известно, нахождение ярлыка так же. Можно и вовсе сделать шару, на которой будут лежать ярлыки к другим сетевым объектам, на первичный объект ссылок не делать, а объяснить пользователям как в проводнике находить этот объект по \\(server)\(company name)\, на пример. Да это уже из разряда паранойи, но лучше выдрессировать юзверей, чем мудохаться с дешифровкой файлов (если это реально) или платить кому-то деньги. Я бы поступил так

Бро, не возможно бороться с тем, что делает стандартные операции. Каспер может бороться только с тем шифровальщиком, сигнатура которого признана вредоносным кодом и занесена в базу... Как-то так... Сам шифровальщик это просто программа, она сама дырки не использует, в компьютер не проникает. Забравшись к тебе в комп, можно банально раром с нулевым сжатием и ебунячим паролем всё собрать и после ёбнуть и затереть нулями свободное место. Каспер будет трогать рар? Сомневаюсь. Геморно, но вполне возможно. Шифровальщик, кладёт информацию в те же сектора диска, что бы тереть оригинальную инфу, поэтому и ничего не остаётся.