Wie stellt Ihr sicher dass Ransomware Eure Hyperbackups nicht verschuesseln?

[framp]

Eben habe ich mal nach Argumenten gesucht warum ein RAID kein Backup ist und bin dann darauf gestossen dass mein Hyperbackup auf meine Raspi per rsync vielleicht anfaellig fuer einen Ransomeware Attack ist der ebenfalls ein Grund fuer ein Backup ist.

Ich denke mal dass das nur ein Problem ist wenn Backupspace gemounted ist. Bei rsync findet ja kein mount statt sondern wird alles per ssh transferiert. Ich kann mir nicht vorstellen das Ransomeware auch so einen Verbindungspfad benutzt - oder doch?

Aber wie ist das mit einem USB Disk Backup? In dem Moment wor die USB Platte gemounted ist kann Ransomeware die USB Platte verschluesseln und Essig ist mit meinem 3-2-1 Backup. Ubersehe ich da was oder liege ich richtig?

 

[weyon]

Einfach. Snapshots einschalten (nicht vom User einsehbar), dann kann man die Ransomware einfach zurücksetzten.
Zugriff auf USB Backups (Hyperbackup oder so was) sollten niemals von einem User einsehbar sein, dann kann auch der Virus nicht drauf.
Und es hilft immer eine oder mehrere USB Backups offline zu haben.

 

[framp]

...Einfach...

... aber fuer mich nicht Was muss ich dafuer genau machen?

... Und es hilft immer eine oder mehrere USB Backups offline zu haben...

Ich benutze zwei im Wechsel. Was aber wenn ich schoen wechsele und erst nachdem ich beide USB Platten an der Syno zum Backup benutzte feststelle dass sie in der Zwischenzeit verschluesselt wurden?

 

[RichardB]

Sicherstellen = ich weiß 100%ig, dass ich davor geschützt bin. So kühn sind nicht mal Kaspersky und Co (zumindest auf konkrete Nachfrage).

Meine Strategie:
Nach Möglichkeit dafür sorgen, dass keine Ransomware über die Clients auf die NAS kommt. Das ist imho der häufigste Weg, denn dass Ransomware die NAS selber angreift ist eher unwahrscheinlich.
Für 1 habe ich 3 Backupsets und auf jedem 8 Versionen (7 + die tagesaktuelle, die nicht mitgezählt wird). Wird die NAS samt Backupplatten verschlüsselt, habe ich noch 16 Möglichkeiten, eine Version zurückzuspielen, wo das Biest noch nicht drauf ist. Und ich würde da ehrlich gesagt mit der ältesten beginnen und mich bei heißen Dateien dann gaaaanz vorsichtig weiter vortasten.

 

[framp]

... denn dass Ransomware die NAS selber angreift ist eher unwahrscheinlich...

Das stimmt vermutlich. Da mache ich mir wohl zu viel Gedanken. Und falls doch habe ich immer noch die per rsync erstellten Backups auf der Raspi. Ransomeware verschluesselt gemountete Verzeichnisse und keine Resourcen auf einem rsync Server.
Bei 1 habe ich das Szenario im Kopf dass man eine USB Platte anschliesst - sie gemounted wird und die Ransomware das sofort bemerkt und gleich anfaengt die USB Platte zu verschluesseln. Aber wo ich das gerade schreibe wird mir klar dass man dadurch sofort bemerken wird dass was mit der USB Platte und dem Backup nicht stimmt und weitere USB Platten nicht mehr anschliessen wird. D.h. 2 oder mehr USB Platten im Wechsel zu benutzen schuetzt ausreichend fuer diesen Fall.

 

[RichardB]

Ich sehe das ähnlich. Ich habe keine allzu große Angst davor, dass ich für meine Daten eine Menge Bitcoins irgendwo hinschaufeln muss. Ich würde eher den Arbeitsaufwand, der entsteht, wenn ich so ein Biest killen muss, lästig finden.

Natürlich kann man sich auch ein ganz gemeines Biest einfangen, dass sich zunächst einnistet und dann auf Schläfer macht. 100%ige Sicherheit bietet eben nur das Kappen der Leitung zum WWW. Nur müsste ich in dem Fall nachsehen, wo meine alte Schreibmaschine, der Overhead- und Dia-Projektor und anderes Zeugs aus der Antike sind.

 

[weyon]

... aber fuer mich nicht Was muss ich dafuer genau machen?

Ich benutze zwei im Wechsel. Was aber wenn ich schoen wechsele und erst nachdem ich beide USB Platten an der Syno zum Backup benutzte feststelle dass sie in der Zwischenzeit verschluesselt wurden?

Entweder vorher schauen ob was verschlüsselt ist, alternativ dem Arbeitsuser NIE Zugriff auf das Backupmedium gewähren, oder einfach 3 USB Disks verwenden.

 

[NSFH]

Die einfachste Lösung ist immer ein externer Server, egal ob C2, eine Syno oder ein anderer Clouddienst, der nur mit dem Hyperbackup Protokoll oder via RSYNC ansprechbar ist.
Das Backup muss dabei immer als Versionisierung laufen. Im Problemfall werden dann zwar die von der Ransomware verchlüsselten Daten in das Backup geschrieben, können dort aber keinen Schaden anrichten und die vorherigen Versionen sind unverseucht.
Wichtig dabei: Dieses externe System darf niemals via Netzlaufwerk o.ä. eingebunden sein, auch nicht per eSATA oder USB. Eine externe Syno daher nur über Konsole oder DSM ansprechen aber nicht per Netzwerkpfad.
Snapshots helfen übrigens gar nichts, die werden gleich mitverschlüsselt.
Wenn ich lese drei USB Platten als Backup zu nutzen, sehr fragwürdig. Eine evtl sogar gebraucht gekaufte Backup Syno mit einer grossen Festplatte tut da bessere Dienste und ist sicher nicht teurer als 3 USB Platten, abgesehen vom einfacheren Handling.

 

[weyon]

Wenn das Admin Kennwort nicht gespeichert wird, und 2 USB Platten samt Snapshots und korrekte Zugriffsrechte verwendet werden macht C2 Sinn, damit eine Sicherung außer Haus ist. Dann siehts für den Trojaner schlecht aus.

 

[NSFH]

Was hat das Admin Kw damit zu tun?
Und wenn ich auf C2 sichere brauche ich keine USB-Platten!

 

[RichardB]

Wenn ich lese drei USB Platten als Backup zu nutzen, sehr fragwürdig.

Das verstehe ich nicht. Was ist fragwürdig daran, ein 3er-Set aus externen Festplatten als zusätzliche Sicherungsinstanz zu verwenden?

 

[NSFH]

Weil es mit einer einfachen "Serverlösung" billiger, einfacher, besser, sicherer geht. USB schützt nicht vor Ransomware! Festplatte angesteckt und schon ist es passiert.
Ob der Server ein Raspi ist oder eine billige vielleicht gebrauchte Syno ist da vollkommen egal. Man benötigt nur ein BS und RSync oder Hyperbackup.

 

[weyon]

Im Firmenbereich sicher ja. Aber als Privatuser tauscht man die Festplatten schneller als man eine Raspi oder ein anderes Nas einrichtet. Sicherer ist relativ, Falls man ein Blitz einschlägt oder bei Feuer wäre das 2. Nas auch defekt (ohne USV zumindest). Die USB Platten liegen dann sicher im Schrank/Garage/Auto oder sonstwo und können sofort wieder verwendet werden. Nichts ist wichtiger als ein Offline Backup.

 

[RichardB]

@NSFH
Siehe meine Signatur.
Und wenn irgendwas die Syno verschlüsselt, denke ich schon dass ich das mitkriege, bevor die letzte saubere Disk an die Syno kommt (liegen ja immerhin 3 Wochen dazwischen)

 

[RichardB]

wäre das 2. Nas auch defekt (ohne USV zumindest).

Die 1019+ wäre bei Blitzschlag wahrscheinlich auch hinüber. Die 418play nicht, die ist außer Haus.

 

[weyon]

Sofern man einen Platz außer Haus mit brauchbarer Bandbreite hat. Die USB Disk sind immer griffbereit und sooo schwer auch nicht zu tauschen.
Aber soll jeder machen wie er will, sonst wärs ja langweilig wenn alle alles gleich machen

 

[RichardB]

Ich mache beides und hoffe, den Göttern der EDV damit genügend Opfer zu bringen, dass ich keines von beiden jemals brauchen werde.

 

[weyon]

Amen

 

[framp]

...Man benötigt nur ein BS und RSync oder Hyperbackup...

Damit implizierst Du dass ein remotes Hyperbackup erstellt wird. Da ich keine BackupDS habe kann ich nur mutmassen dass da auch rsync unter der Decke benutzt wird.

Ich erstelle gerade aus verschiedenen Gruenden taeglich einen Hyperbackup auf lokalen Platten (siehe meine Signatur) und die sind natuerlich nicht geschuetzt. Aber das sollte natuerlich nicht der normale Backup sein

 

[NSFH]

normale Platten sprichst du via (e)SATA oder USB an und genau da liegt das Problem bei Ransomware. Da liegt ein direkter Zugriff auf das Dateisystem vor und das war es dann mit dem Backup.
Schutz bietet nur ein System welches via Netzwerk angeschlossen wird und die Kommunikation mit dem Dateiserver über ein nicht routingfähiges Protokoll läuft, halt RSYNC oder mittels nativer Verbindung von Hyperbackup.
Und die obige Aussage man bekommt mit wenn Ransomware aktiv wird ist nicht haltbar. Erstens läuft dieser Prozess extrem schnell ab und zweitens würde man es nur merken, wenn man gerade auf eine der verschlüsselten Dateiuen zugreifen wollte, was rein statistisch sehr unwahrscheinlich ist.
Drei rotierende USB Platten bringen auch nichts, denn wahrscheinlich ist nicht bekannt wann die Infektion erfolgte. Es ist ein Irrglaube, dass dieser Prozess ad hoc und kontinuierlich erfolgt. Nach einer Infektion wird erst mal Schadsoftware nachgeladen, danach wird in der Regel das System untersucht um festzustellen wie hoch man ein Lösegeld ansetzen kann und erst danach wird irgendwann die Verschlüsselung aktiviert.
Mit den drei USB-Platten hat man dann trotzdem die Arschkarte gezogen!
Helfen tut hier nur eine langfristige Datensicherung in einer DB.