Oggi voglio raccontarti una storia: la storia di come il server multimediale con Open Media Vault (un sistema operativo basato su Linux) che con tanta dedizione ho assemblato è stato infettato da un ransomware, un tipo di virus che rende illeggibile i dati. Nel mio caso circa 10 TB di documenti, foto, video, filmati, serie TV e film.
Con queste righe voglio condividere con te la preziosa lezione che ho imparato, ovvero: la sola conoscenza di backups, antivirus, firewalls e software di criptazione non è sufficiente a difendersi da attacchi hacker. Mai sottovalutare il concetto di sicurezza informatica!
Il mio obiettivo oggi è spingerti ad agire, non solo a conoscere: installa un antivirus, controlla le porte nel router e fai il backup di tutto ciò che hai di prezioso.
Eh si, caro ragazzo: oggi è il giorno in cui si prende coscienza che internet è un posto pericoloso, anche per i pirati informatici e gli smanettoni più incalliti.
Perché questo articolo dovrebbe riguardarti?
Non importa che tu sia uno studente, un lavoratore o un disoccupato. Non importa nemmeno quanto sei informato sulla questione.
Che tu abbia un portatile con cui lavori o giochi, un server multimediale oppure abbia solo un telefono ricco di selfie: avrai sempre e comunque dei file (documenti, foto, filmati, ecc…) TROPPO importanti per essere persi di punto in bianco.
“Vabbè, ma io so già che cosa sono i backups, firewall e antivirus. Inoltre non ho mai visto uno straccio di virus in 20 anni che uso il pc”
“Putroppo” la conoscenza non è rilevante quando si tratta di recuperare e proteggere i documenti a noi più importanti. Servono fatti.
Ci tengo a scrivere quelle che potrebbero sembrarti ovvietà, ma ti assicuro che non sono poche le persone che dopo aver ascoltato la mia storia si sono attrezzate per evitare che accada anche a loro, nonostante già prima ne fossero a conoscenza.
Ma andiamo con ordine. Se sei a casa fatti una tisana rilassante. Se sei fuori concediti una piccola ciocco-pausa: potresti avere un attacco di ansia improvvisa.
Come ho perso 10 TB di dati sottovalutando la sicurezza informatica
Perché pensavo di essere immune ai virus
Per me la sicurezza era qualche cosa di quasi scontato. Per decenni, nonostante gli antivirus e l’uso del PC non per scopi professionali (solo ultimamente ci tengo gli appunti di università), non ho mai avuto problemi. Prima Windows 95, poi 98, XP , Seven e infine 10. Li ho sempre usati tutti con antivirus gratuiti che hanno sempre trovato poche minacce.
Poche minacce che mi condussero nel tempo a pensare “di non aver necessità di difendermi ulteriormente”. Malware, Adware, spyware, crapware e molto altro erano sapientemente evitati usando soprattutto la testa, evitando di “cliccare cose a caso”.
I backups li conoscevo, ma non li ho quasi mai fatti se non ultimamente e solo di alcuni documenti, riponendo il tutto in un server che reputavo inespugnabile.
Il vero punto che non avevo compreso era che le misure da me attuate erano appena sufficienti per proteggere un pc e non un server, ricco di dati sensibili, sempre acceso e accessibile da remoto.
L’orribile scoperta del ransomware Caleb
Qualche settimana fa, proprio quando mi ero deciso a seguire un tutorial volto a migliorare la sicurezza di OMV, mi accorsi che Plex segnalava solamente 73 film di oltre 850 posseduti. Inoltre: i brani musicali erano passati da più di 10000 a circa 7000. Le foto sembravano illese, mentre le serie TV erano completamente sparite.
Sul momento pensai “che diamine sta succedendo? Sarà morto un disco?“. Ma l’ipotesi era improbabile visto la mole di dati che era “scomparsa”.
Indagando tramite FTP notai che i file erano ancora presenti, ma avevano una strana estensione. Pensai che era successo qualche cosa, un virus, ma ero comunque tranquillo e sicuro di poter, una volta rinominati i file, tornare ad avere ciò che avevo.
Mi sbagliavo.
Come poi scoprii con enorme orrore, il server era stato infettato da un ransomware e i documenti erano stati criptati in maniera praticamente irreversibile. Corsi a spegnere il server, terrorizzato da poter perdere ulteriori dati.
La presa di coscienza e la prima reazione
Capito che non avrei mai più avuto indietro i dati criptati e mi chiesi cosa fosse accaduto.
Non mi sembrava di aver installato un software da una fonte non sicura, ne di aver autorizzato nulla di “strano”.
Capii successivamente che il firweall del router era stato disattivato e che c’erano davvero tante porte aperte. Troppe porte, anche di quelle non utilizzate. Infine, come ciliegina, sul server non c’era neppure un antivirus.
Sono un pirla.
Pensai. Un completo sprovveduto.
Cercai e trovai una guida sulla sicurezza Linux che sembrava stata scritta da uno che aveva appena perso tutto esattamente come me.
Attuai alcune norme di sicurezza, poi, preso dal panico e dal poco tempo che avevo la sera dopo tirocini e lezioni, combinai un casino e dovetti formattare tutta la partizione di sistema.
Scelsi quindi di installare Debian 10 e di attenermi assiduamente alla guida, andando con ordine.
Passarono ben 2 settimane, in cui dedicai almeno 3 ore tutte le sere per cercare di ripristinare la situazione, ma alla fine desistetti per una semplice ragione: ogni volta che sorgeva un imprevisto dovevo perdere ore per trovare una soluzione, senza contare che spesso sorgevano problemi su problemi.
Senza contare che alla fine il server mi notificava con una dozzina di mail ogni giorno per dirmi che “tutto va bene”, nonostante il 75% delle risorse fossero occupate da servizi di protezione.
In pratica un gran casino, no?
Il ritorno a OMV
Decisi di fare piazza pulita ancora e di installare nuovamente il sistema operativo che sapevo usare un po’ meglio: OMV.
Il piano era semplice: attuare alcune delle innumerevoli norme di sicurezza apprese dalla guida e da altri forum.
Riassumendo ho:
- scansionato ogni disco con un Spyhunter e Malwerbytes, usando un computer con una cpu potente (e non quella integrata nel server)
- chiuso ogni porta del router e riattivato il firewall
- installato un applicativo alla volta (Plex, Nextcloud, ecc…)
- cambiato e potenziato tutte le password
- comprato un HDD esterno molto capiente (consiglio i WD my book per l’ottimo rapporto qualità prezzo)
- tenere aggiornato il sistema
Il concetto da portarsi a casa
La cosa più importante, forse, è assicurarsi di avere due backup, offline e uno online. Questo perché molti virus si diffondono nella rete lan. In secondo ordine mai disattivare il firewall pensando “che tanto non serve” e, infine, installate un antivirus.
Non saremo mai protetti al 100% e questa esperienza è davvero un granello di sabbia nel deserto, ma ci fa capire che internet può essere un posto pericoloso.
Queste misure potranno sembrare eccessive ed inutili, ma questa è solo un’illusione dovuta al fatto che… funzionano molto bene! Se hai ulteriori dubbi o vuoi condividere la tua esperienza puoi commentare liberamente qui sotto!
P.S.: per chi vuole approfondire e farsi una interessante lettura “cyber horror” sui ransomware: WannaCry.
hai avuto la mia stessa disavventura. per fortuna non avevo dati importanti. che antivirus hai messo su omv?
Accidenti! Ho installato ClamAV!
Ho letto con interesse la tua disavventura. Secondo te quale potrebbe essere stato il motivo maggiore? È possibile che avessi il virus nel pc e che poi l’hai trasmesso alla lan? Oppure avevi una password di rete particolarmente debole? Oppure avevi attivo SMB da remoto che è estremamente sconsigliato avere?
Ciao Redcarpet,
il problema era la mia “sprovvedutaggine” proveniendo da windows o comunque in generale non avendo particolari esigenze di sicurezza, ho sottvalutato la cosa. Dubito che il problema fosse di provenienza LAN quando piuttosto dalla eccessiva apertura di porte, la mancanza di un antivirus e la solo parziale copertura dei servizi con protocolli https (credo problema principale).
Attualmente, sperando di aver appreso la lezione, ho firewall alzati, antivirus, passoword forti e – soprattutto – nessuna porta aperta se non quelle essenziali per offrire l’accesso con cifratura.
Ovviamente ora ho un backup freddo di tutto 😂
Programmi di fare un server? O lo hai già e cerchi di evitare il peggio?
Allora, dato che allo stato attuale senza Port forwarding funziona tutto, non mi metterò ad aprire porte né sul router né sul Nas. Ho installato clam av sul Nas (che male non farà…).
Da quanto vedo quei servizi online non testano tutte e 64 mila le porte ma le più usate.. O le prime 1000.. Però già si può avere un idea di come risponde il router. Nel frattempo con alcuni vecchi hard disk e freefilesync (che ti consiglio, va benissimo) mi farò qualche backup offline. Magari non saranno sempre aggiornati ma piuttosto di perdere tutto… E appena ho un attimo di tempo come dicevi tu mi salvo un immagine del disco di sistema del NAS.
Si in effetti, giacché le porte sono chiuse, hai installato l’antivirus e hai i backups direi che sei molto al sicuro ahah Freefilesync non lo conoscevo, ma senza ombra di dubbio approfondirò, grazie! L’importante é non vedere azzerare tutto ?
Ho appena verificato tramite servizi online e sembra che tutte le porte del mio router siano chiuse (o stealth).. che dovrebbe essere una buona notizia credo (test fatti https://www.grc.com/shieldsup e https://www.yougetsignal.com/tools/open-ports/ ).
Io non uso il mio nas dall’esterno, l’unica cosa che comunica dal nas all’esterno dovrebbero essere i vari servizi (plex, aggiornamento, bittorrent, etc) ma in generale mi sembra che funzionino senza aver impostato nessun port forwarding sul router (boh). Gli unici servizi abilitati sono Plex, BitTorrent, Smb e SSH (che non uso)
Su OMV il servizio FTP è disattivato. Nella parte firewall non ho impostato nulla…
Che posso fare? Scusami ma sono a digiuno anche io di sicurezza..
Si è un’ottima notizia! Il primo servizio devo dire che è molto utile perché testa tutte le porte in cerca di vulnerabilità (me lo segnerò per il futuro!).
Probabilmente i servizi come Plex sfruttano la tecnologia UPnP che configura le porte in modo automatico e limitato al tempo di utilizzo del servizio, rendendo il tutto molto più sicuro. Però non me ne intendo moltissimo, questo è quel poco che so ahah
Per impostare il firewall di OMV ho trovato questa guida (qui vengono linkate le foto); è in inglese, ma dovrebbe essere piuttosto intuitivo.
Fammi sapere, sono sempre disponibile e curioso!
Mi sa che lo installerò pure io appena possibile. Prima però devo capire bene come chiudere le porte router… Dovrò studiarci un po’ su. Nella tua sfortuna hai trovato guide utili?
Beh più che chiudere si tratta di capire quali porte sono state aperte e limitarle allo stretto necessario. In base al router ci sono tutorial specifici. Le stesse porte vanno abilitate sul firewall di OMV (quello integrato) negando di default ogni altra connessione sia in entrata che uscita.
Azz che botta. Grazie di aver condiviso la tua esperienza. Corro subito ai ripari (ho un backup offline ma non ho mai verificato come gestire le porte del firewall del router..). Hai installato un anti-virus anche su omv?
Si é stata una bella secchiata! ?
Se non lo hai già fatto, ti consiglio di fare anche un backup del disco di sistema in modo che tu possa facilmente spazzare via tutto e ripartire senza perdere giorni nel riconfigurare tutto.
Come antivirus uso ClamAV. Su OMV é installabile sia sottoforma di plugin sia da terminale seguendo le istruzioni per Debian. Ci sono anche altri software complementari, ma per ora non li ho installati (citati nella guida su GitHub).
Sarebbe interessante anche capire come sia possibile criptare i documenti più sensibili, in modo da mettersi al sicuro anche dal furto di informazioni (magari conosci qualche programma?).
Insomma… se si ha il tempo, la necessità e la volontà di approfondire si possono raggiungere livelli di sicurezza quasi di un internet banking ahahah