Emailtjeneste udsat for katastrofalt hackerangreb

Illustration: alexskopje / bigstock
Grundlægger af tjenesten VFEmail mener, at hacking sandsynligvis er enden for tjenesten.

Mandag denne ugen oplyste emailtjenesten VFEmail, at der var sket noget: Alle eksternt rettede systemer var nede.

Noget senere kom meldingen om, at en hacker var blevet taget på fersk gerning, mens vedkommende var i gang med at formatere eller overskrive backupserveren.

Hele infrastrukturen

Det viste sig efterhånden, at det ikke bare var emailserverne, men hele tjenestens infrastruktur, som var blevet slettet. Dette inkluderer både emailserverne, virtuelle maskiner, VM-værterne, en databaseklynge og backupsystemet.

Disse systemer har haft forskellige passwords.

VFEmail er langtfra den største eller mest kendte emailtjeneste derude. Alligevel har angrebet fået temmelig meget opmærksomhed i blandt andet amerikanske it-medier på grund af den brutalitet, hvormed det er udført. Det er et såkaldt wiper-angreb, hvor hele grundlaget for virksomheden udslettes.

Grundlæggeren af tjenesten, Rick Romero, skriver i tweetet nedenfor, at det sandsynligvis er enden for VFEmail.

VFEmail har også drevet dele af tjenesten fra et datacenter i Holland for europæiske brugere. Her skulle backuppen være intakt, men den dækker kun en lille del af det samlede datasæt.

VFEmail har haft sikkerhedskopier af dataene, men også serveren med disse data har været tilgængelig via internettet, enten direkte eller via VFEmails infrastruktur. Dermed har angriberne også kunnet slette disse kopier.

Sikker backup?

Som flere påpeger i Twitter-tråden herover, bør sikkerhedskopier opbevares frakoblet. Bare husk jævnligt at tjekke, at backuppen faktisk fungerer. En sådan angriper kan have haft adgang til systemerne i uger eller måneder. Vedkommende kan dermed have benyttet anledningen til at forstyrre backupfunktionen i lang tid, før hovedangrebet blev startet.

VFEmail blev etableret i 2001 som en direkte respons på ILOVEYOU-ormen, som året før havde spredt sig globalt på en halv time.

Ifølge VFEmail havde emailservere ikke et integreret antivirussystem. Dermed afhang alt af antivirusløsningen på hver enkelt pc. Grundlæggeren, Rick Romero, løste det ved at skrive et sæt med batchfiler, som integrerede Norton AntiVirus Corporate Edition A/V med emailserveren Mercury/32 for Windows.

Denne erfaring brugte han til at bygge VFEmail-tjenesten, som oprindelig blev kørt på én enkelt FreeBSD-server.

Artilklen er fra digi.no.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Kommentarer (4)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Martin Storgaard Dieu

Som flere påpeger i Twitter-tråden herover, bør sikkerhedskopier opbevares frakoblet.

Hvordan gøres dette i praksis? Kan man gøre det automatisk? Eller er det en manuel process?

Det er vel ikke nok hvis man downloader backup til en server, kobler den fra internettet, mounter et drev, gemmer backup på den server, unmounter drevet igen og kobler serveren på nettet igen (evt. først når næste backup skal hentes igen)?

  • 0
  • 0
Hans Nielsen

Hvordan gøres dette i praksis?


Nemmest sikkerst ?

Måske tage harddiske, Flash, optikskemedier eller bånd med backup ud og opbevare dem på et andet sikkere sted. Som privat er bunden i en fryser er et godt sted, den vil typsik overleve brænd, og ikke blive tømt ved tyveri.

Det hjælper så ikke hvis man bruger skyen, men der findes sikkert løsninger ?

Lige som man har adgang til gamle versioner af filer i dropboxs. Man skal så bare sikker sig at angriberen, ikke har haft adgang i længer tid end man har backup tilbage.

Tager selv hvert 2-3 år en ældre harddisk med data og lægger i min bankboks. Også smider jeg de ældste ud, som ligger der i forvejen, hvis jeg ikke har plads. Har haft brug for dette en enkelt gang, men de andre gange har jeg haft adgang til data, via min backup i sky. Hvis man husker at kryptere, så betyder det ikke noget at have flere kopier, især af det man ikke kan genskabe som private foto og video og projekter ligende. Flere alternativer øger også sikkerheden

  • 0
  • 2
Hans Nielsen

Hvis et sæt credentials kan slette både source og target så sker dette.


Scheduleret kopi til WORM Tape's , eller til Cloud Service

Nu ser det jo ud til, at det i denne sag er blevet slettet flere data, hvor der har været forskellige bruge og adgangskoder. Så software / retighedsbeskyttelse er ikke brugtbart som.

Så det hjælper ikke noget at skrive en backup til en Cloud Service, hvis nogle, og det behøver ikke at være i firmaet men det kan også være ved Cloud Servicen. Har retigheder til at slette eller ændre indhold. Dette gælder også for bånd.

Så vi er tilbage ved sprøgsmålet fra Martin Storgaard Dieu , hvordan gøres det i praksis.

Som med angrebet på mæsk viser, hvis man ikke er så heldigt at have en afdeling som er nede, og som har en kopi. Så kan man ikke stole på backup data, som ikke er fysik offline. Det vil sige at du skal tage (flere) Tape ud løbende, og opbevare dem sikkert.

  • 0
  • 0
Log ind eller Opret konto for at kommentere
IT Company Rank
maximize minimize