Me dirijo a una sesión y suena mi teléfono. Es Jake, mi productor senior.

«Jefe, creo que nos han hackeado/pirateado».

Y con eso comienza una semana muuuuy larga de recuperación, solución de problemas y formateo. Nuestro QNAP realmente fue hackeado .

 

Quick background: Tengo una pequeña empresa de producción de videos que produce comerciales, películas de marca y programación de televisión.

Somos una tienda basada en PC, con todas las máquinas conectadas al NAS de 48 TB a través de una red ethernet cerrada de 10 gigas. El NAS, un QNAP TS1685, cuenta con unidades de 4 TB y está dividido en una configuración RAID 6. Eso nos da 40 TB de espacio utilizable con la posibilidad de sobrevivir fallas en dos discos.

El QNAP tiene cuatro puertos Ethernet de 1 gig y un solo puerto Ethernet de 10 gigas. El puerto de 10 gigas da servicio a las suites de edición. Uno de los puertos de un solo gig se conectaba a nuestra red tradicional y estaba orientado hacia el exterior a Internet. Eso era parte del problema.

EL ATAQUE

Fuimos víctimas del desagradable ataque de QLocker que afectó a los propietarios de QNAP de todo el mundo a mediados de abril. Los piratas informáticos pudieron ingresar a nuestro sistema a través de un agujero desenchufado en una de las aplicaciones del sistema. El atacante codificó todos los archivos de menos de 20 MB en un archivo de 7 comprimidos que necesitaba una contraseña para desbloquearse. Los piratas informáticos exigieron un rescate para proporcionar la contraseña.

No lo pagamos y logramos reconstruir lo que se rescató de las copias de seguridad, pero no sin un costo significativo en horas hombre. Estuvimos entre los afortunados.

NUESTRA ESTRATEGIA DE RESPALDO ANTERIOR

Hasta ahora, mi estrategia de respaldo se basaba en la idea de que una falla de hardware era el problema más probable y peligroso que enfrentaríamos.

Por lo general, tenemos al menos cuatro copias de todo el metraje filmado.

Grabamos tarjetas de metraje en un iMac a través de ShotPut Pro en un disco duro (copia 1) junto con una copia en un RAID 5 adjunto localmente (copia 2). Luego, el metraje se carga en una carpeta de proyecto activa en el NAS (copia 3). Una vez que la unidad básica (copia 1) alcanza su capacidad, hacemos una copia LTO (copia 4). Cuando el proyecto está completo, lo archivamos en otro disco vacío (copia 5) para proyectos masterizados. Cuando esa unidad está llena, obtiene una copia LTO (copia 6). Las copias de RAID 5 y NAS se eliminan una vez que se domina todo. 

Hacemos una copia de seguridad Chronsync del NAS todas las noches utilizando un sistema RAID más antiguo para obtener una copia casi idéntica. Técnicamente, esa sería la séptima copia temporal. En este caso, el 7 no fue nuestro número de la suerte.

La copia de seguridad de Chrosync se realizó después de que se produjo el pirateo, por lo que los archivos rescatados se copiaron sobre la última copia buena conocida. Y no teníamos archivo de ésto.

Entonces, si llevas la puntuación en casa, eso es un montón de copias del metraje, pero solo una copia de los archivos de proyectos, imágenes, animaciones y música, todos generalmente de menos de 20 MB. Ese fue nuestro talón de Aquiles.

La regla de oro para la copia de seguridad de datos es la estrategia 3-2-1.

La estrategia de copia de seguridad 3-2-1 simplemente establece que debe tener tres copias de sus datos (sus datos de producción y dos copias de seguridad) en dos tipos de medios diferentes (disco y cinta) con una copia fuera del sitio para la recuperación de desastres.

Implementé mi versión de esto con el enfoque de unidad básica / RAID5 / LTO. Mi mayor temor era perder imágenes que no se podían recrear fácilmente, y nuestro procedimiento estaba protegido contra eso.

Una vez que nos atacaron, me di cuenta de que necesitaba agregar una forma de hacer una copia de seguridad y proteger los archivos del proyecto y todos los demás elementos de producción que no se filmaron. Y necesitaba proporcionar una forma de mantener una copia de seguridad continua, si es posible, para darnos algún tipo de período de retrospectiva para recuperar versiones de hace unos días.

Además, no había proporcionado una copia de seguridad externa en ninguna parte.

LO QUE HICIMOS

Rompí mi plan de acción en estos pasos:

1. Asegurar el QNAP.
2. Restaurar archivos de material de archivo de la biblioteca de la unidad.
3. Reconstruir proyectos perdidos.
4. Implementar una estrategia de copia de seguridad local para todos los archivos de menos de 200 MB.
5. Implementar una estrategia de respaldo en la nube para los archivos de menos de 200 megas.

Primero, eliminé todos nuestros QNAP de la red de 1 gig orientados hacia el exterior para eliminar cualquier vector de ataque externo. Descargué el último firmware para todos mis modelos de Qnap en otra computadora con acceso a Internet, luego apliqué el último firmware parcheado a cada unidad manualmente.

Una vez que hice eso, volví a conectar cada unidad de una en una para recopilar todas las actualizaciones de la aplicación.

Cerré o desinstalé cualquier aplicación no utilizada en QNAP, luego seguí las mejores prácticas sugeridas por el fabricante para mitigar cualquier riesgo de seguridad:

https://www.qnap.com/en/how-to/faq/article/what-is-the-best-practice-for-enhancing-nas-security

Lo que debería haber hecho inmediatamente cuando instalé QNAP fue crear un nuevo usuario de nivel de administrador con un nombre y contraseña relativamente complejos, iniciar sesión y deshabilitar la cuenta de administrador de QNAP predeterminada. Había cambiado la contraseña de administrador predeterminada cuando configuré mis unidades, pero al deshabilitar al usuario llamado «admin» y cambiarlo por otro nombre complejo, eliminé un vector de ataque común para los piratas informáticos.

Ese procedimiento será SOP para cualquier dispositivo con un usuario «administrador» en el futuro.

(Deseo que QNAP permita que el usuario administrador predeterminado se elimine por completo.   En este punto, no pude eliminarlo.   Con suerte, QNAP permitirá esto en algunas actualizaciones futuras).

También hice lo siguiente como medidas adicionales basadas en el consejo de Eric Darling, un colega de eThree Media en Savannah, GA.

Cierre las siguientes aplicaciones:

Sincronización de copia de seguridad híbrida

Hybrid Backup Sync

MyQNAP Cloud

QSync

Help Desk

QuFirewall instalado.

Instala (o actualiza) el escáner de malware de QNAP y ejecútalo.

Como no ejecuto esta unidad como servidor web o FTP, también:

Se desactivó UPnP (Panel de control> Red / Archivo> Directorio de servicios) y (Red y conmutador virtual> Configuración automática del enrutador).

Desactivado FTP (Panel de control> Red / Archivo> FTP).

Se desactivó la compresión HTTP (Panel de control> General> Administrador del sistema) y (Panel de control> Aplicaciones> Servidor web)

Como medida adicional, cambié tanto el Puerto del sistema (Panel de control> General> Administrador del sistema) como el Puerto SSH (Panel de control> Red / Archivo> Telnet / SSH) a otros números de puerto.  

ADVERTENCIA: asegúrate de documentar los nuevos números de puerto y guárdelos en un lugar seguro que pueda recordar.   Si cambia el puerto SSH y pierdes el nuevo número de puerto, tú (ni QNAP) podrás acceder a tu máquina a través de SSH.

Con QNAP asegurado, lo revertimos a los valores predeterminados y recreamos nuestra partición RAID. Luego comenzamos a cargar y recrear los proyectos afectados. Nos tomó alrededor de una semana, pero pudimos volver a ponernos en funcionamiento con bastante rapidez.

Lo siguiente que hice fue centrar mi atención en el mayor problema: no tener una copia de seguridad de los archivos más pequeños con más de 24 horas de antigüedad.

Tenemos un nuevo Apple M1 Mac Mini configurado como estación de digitalización para cintas analógicas. Digitalizamos formatos profesionales antiguos como BetaSP, DVCam y DVCPro a ProRes MOV para clientes. El Mac Mini es perfecto para ese tipo de trabajo.

Mi idea era poner el Mini en la red de 10 gigas y configurar Chronosync para copiar todos los archivos del NAS que tuvieran menos de 200 megas en un SSD local. Chronosync hace un gran trabajo al configurar fácilmente ese tipo de respaldo. 

Configuré el horario para que suceda durante la noche todos los días. También activé la función de archivo para tener copias de seguridad de todos los archivos modificados. En Chronosync, puede definir el período de retroceso, así como los criterios específicos que desencadenan un archivo. Piensa en ello como una especie de máquina del tiempo personalizable. Es un programa poderoso solo para Mac.

Así que ahora tenía los pasos 1 a 4 de mi plan en su lugar. Luego, necesitaba un servicio de respaldo externo.

MUDARSE DE CASA

Hay muchas buenas opciones para realizar copias de seguridad en la nube. Google Drive. DropBox. Servicio S3 de Amazon. El que he usado es el que creo que es el mejor y el más fácil de usar: Backblaze .

Backblaze es un servicio de respaldo bastante rentable. Pero más allá del precio, ofrecen un proceso casi a prueba de balas que permite a los usuarios restaurar archivos dentro de una ventana retrospectiva de 30 días. 

Compré una licencia de Backblaze para Mac mini. Especifiqué la unidad de arranque y el SSD adjunto con los archivos respaldados como los únicos elementos que se enviarán a BackBlaze.

BackBlaze también tiene un servicio de nivel comercial que puede interactuar directamente con QNAP para respaldar todo el volumen NAS en la nube. Es una alternativa viable si desea un archivo completo de su NAS.

Tenemos servicio de fibra óptica en la oficina, que es un milagro tecnológico en sí mismo. La copia de seguridad inicial en los servidores de BackBlaze tomó menos de 24 horas. Después de la copia de seguridad inicial, el servicio se ejecuta en segundo plano y determina los mejores momentos para cargar.

Así que ahora tenemos los archivos seleccionados (de menos de 200 MB de tamaño) de QNAP respaldados en una computadora local a través de Chronosync con el archivo habilitado. Tenemos la computadora local con la copia de seguridad de los archivos seleccionados en la nube con BackBlaze. Además, tenemos una gran cantidad de datos (metraje sin procesar de la cámara) respaldado en al menos tres medios diferentes. Me siento mucho mejor acerca de la seguridad de nuestro producto de trabajo y nuestra capacidad para restaurarlo de fallas o ataques.

Una de las cosas que también aprendí de este proceso fue que mi póliza de seguro comercial no tiene una cláusula de ciberataque. En mi última visita con mi agente de seguros, renuncié a la cláusula adicional del seguro que habría cubierto las pérdidas y el trabajo incurrido por el ataque. Eso es algo que volveré a examinar durante mi próxima revisión de seguros.

No desearía a nadie lo que tuvimos que pasar. Afortunadamente, teníamos suficiente plan de respaldo para poder recuperarnos. Algunas personas no fueron tan afortunadas y tuvieron que pagar el rescate para reanudar el negocio.

Hemos visto que el ransomware afecta al petróleo, la carne de res y cualquier número de sectores comerciales. Este crimen seguirá creciendo. Ahora es el momento de crear un plan de respaldo para proteger sus datos tanto como sea posible hasta que surja la próxima amenaza.

Nota del editor: PVC y Robbie no se hacen responsables de ningún pirateo, ransomware o pérdida de datos en su sistema de almacenamiento. Esta fue la historia de una compañía de producción contada para ayudar a otros a evitar una pérdida similar de tiempo y datos. Se recomienda que los usuarios de almacenamiento compartido se pongan en contacto y trabajen con un administrador de red para proteger su sistema de circunstancias similares, así como para implementar un plan de respaldo eficaz.