Украли базу 1с что делать
Когда работаешь в крупном холдинге, количество сотрудников, имеющих доступ к базам 1С неизменно растет. Рано или поздно появится задача по контролю утечки баз 1С. Конечно мы применим все меры по предотвращению утечки баз, но и информирование о случаях утечки тоже не повредит.
Идея "собирать статистику" сама по себе не нова, вот и я решил аналогичным способом реализовать ее, «заразив» все свои базы 1С процедурой «ПроверитьМестоЗапуска1С()»
Вызов этой процедуры можно спрятать куда угодно, хоть в одно из часто выполняемых Регламентных заданий, хоть среди других таких процедур в общем модуле центра мониторинга. Конечно выбрать нужно место такое, которое как можно реже обновляется. Я банально вызываю ее из процедур «ПриНачалеРаботыСистемы()» в модуле приложения (управляемого/обычного).
Поскольку в коде в открытом виде будет написан пароль для FTP соединения, создаем изолированную папку FTP для этого пользователя и создаем авто перенос уже переданных на FTP файлов в недоступное место. Это уже задача для системного администратора.
И так сама процедура:
Ну вот и готов еще один способ информирования об утечки информации.
Специальные предложения
Для умников (2), (3).
Базы бывают не только клиент-серверные, но и файловые, а для них ненужно никаких прав для копирования.
(10) Если программисту 1С приходится заботиться об утечках баз - что-то явно не так в вашем холдинге.
(12) Служба информационной безопасности (или сисадмины, на которых глупые начальники повесили эту функцию), кто ж еще.
Так может он как раз и есть сотрудник этой самой службы? Либо на него возложены обязанности этой самой службой.
(19) Вы не согласны, что служба информационной безопасности и сисадмины должны быть отдельными службами? И что совмещать их вместе глупость?
А при чём тут я? Каждое предприятие для себя само определяет кто и за что у них отвечает.
"Сисадмины" понятие довольно растяжимое. СБшники например могут возложить эти обязанности на одного, старшего(главного) сисадмина.
(23)Как правило работники в службе безопасности это бывшие сотрудники органов власти, и с компьютерами они не всегда дружат - идут за советом в службу ИТ.
(11) А кто сказал что я просто программист 1С.
В статье сказано "Конечно мы применим все меры по предотвращению утечки баз, но и информирование о случаях утечки тоже не повредит".
Т.е. это дополнительная мера по контролю. Также как дополнительное мерой являет ежедневный мониторинг неправильно набранных паролей при авторизации.
Просто ИНФОСТАРТ - это 1С сообщество, тут публикуются примеры в 1С.
Моя статья была изначально немного больше, но меня попросили ее сократить, так как это может навредить 1С.
У себя в холдинге я прописывал лично, не уведомляя всех программистов 1С, а только старшего, отвечающего за обновления.
Но эта нацелено не против программистов 1С, а например системных администраторов, которые не вкурсе о кодах 1С но могут скопировать на сторону бакап (например).
(15) Системные администраторы, да и просто вменямые люди, запустят скопированный на сторону бэкап не в сети вашего "холдинга", а в изолированной среде. Ну, чтобы та же платформа в интернет не лезла.
В результате ваше поделие не найдет ваш фтп и будет плакать.
(34) 90% злоумышленников не такие умные и об этом и не подумают, так что подход довольно эффективный.
А смысл. База должна открываться только на сервере. и соответственно никаких окошек не будет.
А если кто залетный первый раз запустит копию дома (например), если окошко появилось, уже поздно что то предпринимать, сведения будут отправлены.
Кроме того не стояла задача с постоянной слежкой, а только контроль за утечкой.
И что это даст когда уволенный сотрудник запустит у себя базу?
Будете только ловить спам у себя на сервере и локти кусать!
Хотя до смены пароля на фтп, тогда кто раньше стянул и позже запустил будет молодцом!
)))
Ну надо тогда по полной резвиться, раз троян в базе 1С. Шифруешь файлы компьютера злоумышленника и требуешь возврат базы на родину с компенсацией ущерба.
(9) интересная мысль, потом еще окажется что таким способом автор получил неправомерный доступ к информации защищаемой законом (напр. фамилия оперативника).
а вообще - троян внутри базы - это ок.
(25) Решение с технической точки зрения вопросов не вызывает, и все-же, сколько раз сработало и помогло кого-либо поймать?
Пока только программиста 1С, который зачем то решил скопировать копию базы для разработчиков с RDP на локальный компьютер. Хотя почему "зачем то", для конкретных целей - тестирования нового драйвера ККМ.
На этом поняли, что способ информирования рабочий.
Утечек во внешнюю среду пока не наблюдали.
(0)Обычно люди, ворующие базы данных не новички) Прежде чем запускать, можно через конфигуратор и отключить бы все регламентные и фоновые задания, закомментить все обращения в веб или запустить на виртуалке без интернета.
В целом хотел сказать, что смысла в этом почти никакого нет. Ну узнаете вы в лучшем случае ip/имя компа и время открытия, если пароль на фтп не измените, и все.. Если хотите жестко наказать - форматируйте/заражайте вирусами компьютер вора, или удаляйте мелкими порциями данные из базы. Да, так даже лучше, открыл он предприятие - начали удаляться контрагенты в фоне, договора, организации, затем документы и тд.. в общем смысла больше, чем собирать статистику кто сколько раз открыл ворованную базу
(30)Ну да, ну да. А потом админы, которые не в курсе, по какой-либо причине устраивают переезд баз на новый сервак.
(32) Мое предложение - исключительно как средство защиты от воровства данных. Как не подорваться самим и использовать ли его - решать каждому для себя отдельно.
(37) Статья не моя) Вредительство с данными мне кажется отличной идеей, при правильной реализации) Хотя, согласен, это не решит проблему, а лишь немного усложнит ворам задачу. Не зря же придумали способы удаленного уничтожения данных.
(30) Как вы читаете статьи извращенно. Это не средство защиты баз!
Это дополнительный способ информирования для случаев, когда базы могут быть легко скопированы сотрудниками, у которых имеется доступ к базам в виду должностных обязанностей.
Я сам сталкивался не однократно, когда главные бухгалтера притаскивали на работу копию какой либо чужой базы 1С . так сказать, чтобы наши 1С специалисты помогли решить возникшие проблемы у их знакомых. А кто сказал, что тот же главбух не скопирует какую либо базу себе домой, чтобы поработать дома.
В каждой крупной компании есть основные базы, они как правила клиент серверные и второстепенные(одноразовые/редкозапускаемые) базы, которые как правило файловые. Например в нашей корпорации на сегодня одновременно работают более 20 баз 1С, и только 4 основных (клиент-серверных).
Я сам сталкивался не однократно, когда главные бухгалтера притаскивали на работу копию какой либо чужой базы 1С . так сказать, чтобы наши 1С специалисты помогли решить возникшие проблемы у их знакомых. А кто сказал, что тот же главбух не скопирует какую либо базу себе домой, чтобы поработать дома.
В каждой крупной компании есть основные базы, они как правила клиент серверные и второстепенные(одноразовые/редкозапускаемые) базы, которые как правило файловые. Например в нашей корпорации на сегодня одновременно работают более 20 баз 1С, и только 4 основных (клиент-серверных).
Не встречал таких компаний. Не отрицаю, может они и есть, но это не значит - что так и надо. При наличии сервера 1с необходимость в файловых БД на сервере отпадает напрочь! Нужна возможность работать глбух дома - сделайте РДП подключение. Если база нужна только одной бухгалтерше - опять же, сделайте ей рдп. Если так случилось, что у глбух нет дома интернета и она одна работает с этой базой, ну купите ей внешний диск и туда поставьте, что бы она не копировала ДТшки или 1СД файлы..
ПС.
И подведя итог:
Это дополнительный способ информирования для случаев, когда базы могут быть легко скопированы сотрудниками, у которых имеется доступ к базам в виду должностных обязанностей.
Для чего? Раз доступ имеется - значит база может быть скопирована и отдана кому угодно. Какую задачу это решает? Получить статистику сколько раз ваша база открыта на каких ПК отличных от сервера? Вот узнали Вы, что база открыта 481 раз на 10 ПК, доступ к этой базе есть у 3 человек. Что это решает? Кто-то сливает базы? Или у этих людей по 3 ПК? или кто-то один отнес "соседским" программистам, что бы те помогли ей решить какую-то задачу? Что-то надо делать или все ок?
Уже несколько лет хакеры, применяющие вирус-шифровальщик, держат в страхе бухгалтеров.
На днях очередной жертвой злоумышленников стала участница группы «Красный уголок бухгалтера» на Фейсбуке.
Напомним, мы уже рассказывали о подобной истории, приключившейся с бухгалтером. Тогда все завершилось относительно благополучно. Бухгалтер, сторговавшись с вымогателем на сумме 25 тыс. рублей (изначально он просил 40 тысяч), получила ключ, с помощью которого удалось расшифровать файлы.
Выход
Как следует из комментариев участников дискуссии на Фейсбуке, в основном вопрос расшифровки решается путем выкупа ключа у злоумышленников.
Как показывает практика, цена варьируется от 15 до 50 тыс. рублей.
Иногда пострадавшим помогает обращение к антивирусной компании. В этом случае удается получить ключ расшифровки, не прибегая к услугам вымогателей. Однако этот процесс может быть небыстрым, да и успех не всегда гарантирован. Кроме того, далеко не все компании используют в своей работе платные антивирусные программы.
Антивирусная компания нам не помогла, заплатили разработчику шифровальщика 50т— делится Анастасия
Кто-то ищет умельцев-расшифровщиков на просторах Интернета. Так, например, сделала одна из участниц дискуссии:
Была такая ситуация. Все айтишники оказались бессильны. Отправлять деньги хаккерам не рискнула. Погуглила — нашла услуги по расшифровке именно по моей проблеме. Возможно работают в паре — не знаю. Но 3 часа, 50 000 руб и всё ок.
Хотя большинство коллег предпочитают обреченно заплатить выкуп преступникам, некоторые бухгалтеры призывают не делать этого.
Дело в том, отмечают коллеги, что если бы никто не платил, то хакерам и смысла не было шифровать. А так получается, что пока фирмы платят, злоумышленники будут продолжать наживаться, делая свое черное дело.
Откуда вирус
В основном вирус-шифровщик попадает на компьютер из электронной почты. Пользователь открывает письмо с файлом и сам запускает вредителя. Злоумышленники прибегают к разным уловкам и умело шифруются под что-то приличное.
Причем иногда на первый взгляд это письма с электронных ящиков действующих контрагентов. Бухгалтер может просто не заметить замену одной буквы или символа.
Я такой вирус сама запустила — его в виде ссылки прислали нам на рабочую почту в виде письма от контрагента с документами. По-хорошему, конечно, я могла бы распознать и не «тыкать». Там и контрагент был какой-то странный, и другие признаки. но руки мои быстрее сработали, чем голова. Этот вирус зашифровал мне абсолютно все на компьютере.— рассказывает Виктория
Часто бухгалтеры «попадаются» на якобы актах сверки, в том числе с энергоснабжающими организациями, кому-то шлют счета от Ростелекома, кто-то получает письма с вирусом от ФНС.
Как уберечься
Чтобы минимизировать риски таких злоключений, целесообразно регулярно делать резервную копию базы 1С. Причем если хранить эти копии на том же компьютере, где находится 1С, труды по копированию могут оказаться бесполезными.
Защита — только резервное копирование, хотя у нас был случай, когда хакер проник в сервер и прежде чем зашифровать данные, зашел на жесткий диск резервного копирования и удалил и там все.— Pavel
Кроме того, очень важно ответственно подходить к вскрытию файлов, полученных по электронной почте. Невнимательность или излишнее любопытство кого-то из сотрудников компании, может обернуться огромной проблемой.
Ну и конечно не надо пренебрегать антивирусной защитой компьютеров.
Доброго времени. Скажите пожалуйста каким образом можно обезопасить базы 1С да и другие данные от кражи сотрудниками фирмы? Заранее благодарен.
Взять на работу специалиста по информационной безопасности. Он разработает комплекс организационных и технических мероприятий и реализует их. От мер по ограничению доступа к компам и в помещения, до видеонаблюдения и логирования скриншотов, почты, месенджеров. Короче - любой каприз за ваши деньги.
Всякие доморощеннае методы могут вселить ложную уверенность в безопасности, и вылезут боком в самый неожиданный момент.
Отключить все порты ввода/вывода (usb, cdrom, lpt,serial, интернет) перейти на sql.
И/или давать достуа только удаленно по rdp/vmware view
Но если сильно захочиться то и монитор по фоткают или в блокнотик перепишут
В общем - никак. Вам может помочь ограничение доступа к базам для тех, кому они не нужны. Или нужны не все.
Если Вы всерьез хотите обезопаситься, то следует рассмотреть вариант перехода на SQL версию. Сделать дамп баз даже для продвинутого пользователя будет проблематично.
Алексей Константинов: Возможно про разные вещи говорим. Я имею ввиду, что пользователь 1С коннектится к серверу 1С, который, в свою очередь, коннектится к СУБД.
То есть, чтобы подключиться к SQL базе надо знать логин\пароль от самой базы, а не пользователя для входа в 1С.
Извиняюсь за долгий ответ.
Надо ввести договор, в котором прописать жесткую ответственность за каждый файл, который будет доступен пользователю. Прописать штрафы размером в оклад за 10 лет. И в суд подавать показательно.
Если нужно базу спионерить, то и Пентагон не в силах защититься от инсайдеров/аутсайдеров.
Вообще каждый сотр должен работать ТОЛЬКО в своей области данных, еще дополнительная "защитка" в виде конкуренции по отделам организации. Надо смотреть на структуру фирмы и тп.
И по-максимуму логировать все действия пользователя, чтобы было что предъявить в иске если что.
Сразу что пришло в голову:
1) Ограничить доступ к базам 1С физически и на уровне AD или пользователей
2) Перейти на клиент-серверную версию
3) Отобрать у всех полные права и оставить только администратору
4) Ограничить использование flash-накопителей и DVD-RW через политики безопасности Windows
5) Ограничить использование интернета и мониторить использование WEB-ресурсов. Установить прокси-сервер.
Есть еще дополнительные меры, так что лучше обратиться к специалисту по информационной безопасности.
Локальные версии продуктов 1С поражает вирус-шифровальщик. Впервые он появился несколько лет назад, но до сих пор активно действует в разных модификациях.
Локальные версии продуктов 1С поражает вирус-шифровальщик. Впервые он появился несколько лет назад, но до сих пор активно действует в разных модификациях.
ЧТО ЭТО ЗА ВИРУС И КАК РАСПРОСТРАНЯЕТСЯ
Этот вирус шифрует всю информацию на жёстких дисках компьютера, обычного или серверного. Он превращает в бессмысленный набор символов любые текстовые и иные файлы – в том числе и базы 1С.
В основном вирус распространяется по почте через обработки обновления. Вам приходит письмо якобы от партнёра, банка, ФССП или других государственных ведомств. Вы запускаете присланный файл – и вирус добирается до ваших данных. Обычный антивирус не распознаёт и не уничтожает эту зловредную программу.
После шифровки вирусом баз данных мошенники связываются с вами и требуют заплатить деньги за расшифровку. Обычно речь идёт о крупных суммах – от 50 000 рублей.
КАК РАСШИФРОВАТЬ БАЗУ 1С
Это работает не всегда. Вирус постоянно модифицируется – бывает, что какую-то его версию просто нельзя расшифровать.
ШИФРОВАНИЕ БАЗ 1С – КАК СЕБЯ ЗАЩИТИТЬ?
Если вы пользуетесь локальной версией 1С, примите меры предосторожности:
- измените стандартный порт RDP 3389 на другой – например, 36545;
- установите более сложные пароли всем, у кого есть доступ к вашей 1С;
- храните архивы с важными данными в месте, недоступном для вируса;
- используйте механизмы теневого копирования.
К сожалению, резервные копии тоже уязвимы – особенно если они хранятся на том же сервере, пусть и на другом жёстком диске.
Чтобы гарантированно защитить базы от шифровальщика, мы рекомендуем переходить на аренду 1С. Наши серверы расположены в одном из самых надёжных московских дата-центров Most Networks.
Очень немногие компании могут обеспечить такой же уровень защиты для собственных серверов. Так что ознакомьтесь с нашими тарифами – и добро пожаловать в облако!
Есть возможность как либо расшифровать наш архиф. Есть ли программы дешифраторы. Или сколько это стоит.
Простой 2 комментария
Подобные темы периодически возникают на форумах пользователей Касперского, Др.Веба и Нода32 - сотрудники соответствующих антивирусов пытаются помочь решить такую проблему; на форумах уже лежат десятки средств, которые могут помочь в попытке дешифровки.
Как вариант, если вы так хотите заплатить, свяжитесь с вымогателями, которые зашифровали вам базу.
Нет, расшифровать не имея ключа шифрования практически невозможно.
Вытаскивайте базу из бэкапа и работайте дальше - только так.
На такие вопросы есть злорадный и грустный (для Вас) но очень правильный ответ:
Все админы делятся на:
- тех, кто еще не делает бэкапы
- тех, кто уже их делает
- тех, кто уже их делает и периодически проверяет, как они восстанавливаются
Я конечно понимаю, что Вам не до шуток, но увы - думать надо было раньше.
World Wild Web.
Может быть и невозможным, если ключ шифрования рандомно сгенерировался в памяти компьютера и после шифрования был удалён. Либо если шифрование было произведено по ассиметричному публичному ключу, а приватный к нему отсутствует.
Не совсем понял но совсем маленькие куски базы разшифровали с помощью Касперского. А большие он не тенет. Я есть очень большие. Мы расшифровали через Касперского файлы до 100 мб, а 500 мб он не берет. А есть ещё 2 по 1.5 Гб файлов.
Читайте также: