Absichern des NAS

[the other]

Hallo,
ich bin ein ziemlicher neuling hier (hallo an alle) und im thema nas sowieso...das vorweg, falls meine frage meine unkenntnis verrät.

ich habe meine synology eingerichtet und die ordner als netzlaufwerke eingebunden. funktioniert super. zur zeit werden die diversen trojaner, die die daten verschlüsseln, diskutiert (siehe http://www.heise.de/newsticker/meld...eue-TeslaCrypt-Version-grassiert-3037099.html ). sollten ich oder andere user sich einen solchen einfangen, was blöd aber nicht auszuschließen ist), dann könnte dieser doch auch die dateien auf dem nas sperren, wenn ich mit identischen userkonto und passwort arbeite (was wohl viele wegen faulheit/bequemlichkeit machen), oder?
wie verhindere ich das? reicht es aus, eben nicht mit identischen anmeldedaten zu arbeiten?
der reine lesezugriff würde wohl auch gehen als user, aber das wäre nicht praktikabel, denn ich möchte mit den jeweils freigegebenen daten ja auch arbeiten bzw. diese ggf. ändern. schon zb synctoy macht ja eben das (unter bestimmter konfiguration).

oder mache ich mir da unnötig gedanken, weil eine schadsoftware dies eben nicht kann?

ich suche also den passenden kompromiss aus bequemlichkeit und sicherheit...

für eure meinungen/ideen/tipps sag ich schon mal danke!

the other

 

[Frogman]

reicht es aus, eben nicht mit identischen anmeldedaten zu arbeiten?

Nein - denn der Trojaner wird nicht unbedingt selbstständig ein Netzlaufwerk anwählen, sondern einfach warten, bis Du es tust, die Anmeldedaten sind da völlig schnuppe. Und sobald das Netzlaufwerk in Deinem Rechner hängt, wird encrypted oder sonst etwas.

Das einzig probate Mittel neben einem aktuellen Scanner auf dem Rechner (auf der DS macht das keinen wirklichen Sinn) ist es, zwei rollierende Backups auf externen Platten zu machen und diese im Schrank zu lagern.

 

[the other]

hey, super, dank dir für die schnelle antwort.
das mache ich zur zeit so: backupversionsketten auf nas und reservebackup (voll) parallell auf externe hdd, sensible daten (fotos) auf eine weiter per hardlink. das bedeutet dann wohl, dass die beiden externen hdds "relativ" sicher sind und das auf der synology befindliche backup verwundbar ist, oder? die synology backupe ich zusäztlich auf eine weitere externe hdd (hardlink) , aber die wäre dann ja beim nächsten anschließen auch kompromittiert...falls ich das verstanden habe?

 

[heavy]

Viele dieser Trojaner verschlüsseln (wenn überhaupt) nur das Laufwerk C:\ oder die Internen Platten. Eine Version die auch netzlaufwerke verschlüsselt kenn ich derzeit nicht. Denn dort muss eine Verschlüsselung anders ablaufen als auf den internen Platten. Aber wie schon geschrieben absichern gegen Datenverlust kannst du dich nur mit Backups und da am besten nicht nur eins sondern eben mehrere.

 

[the other]

gut, dann nutze ich die zeit lieber damit, meine backup strategie zu überdenken anstatt immer unterschiedliche passworte/nutzernamen zu tippen. hatte da ein mulmiges gefühl. danke für die schnellen hilfreichen antworten!
the other

 

[Frogman]

Viele dieser Trojaner verschlüsseln (wenn überhaupt) nur das Laufwerk C:\ oder die Internen Platten. Eine Version die auch netzlaufwerke verschlüsselt kenn ich derzeit nicht.

Wie bitte? Das war schon vor Jahren nicht nur möglich, sondern praktizierte Realität! Also vorsichtig - solche Äußerungen führen bei unbedarften Usern nur zu gefährlicher Unbekümmertheit!

Denn dort muss eine Verschlüsselung anders ablaufen als auf den internen Platten..

Erklär mal...

 

[the other]

schon wieder ich...ist ja fast eine unterhaltung hier

hab die gleiche frage auch direkt auf heise gestellt (siehe Kommentare zum link der ersten posts) und eben genau die antwort auch erhalten: ist möglich! (hier der thread link: http://www.heise.de/forum/heise-onl...aule-erreichbar-halten/posting-24006507/show/ ).
Wie gesagt: bin neuling, daher lerne ich gerne was dazu.

werde jetzt erstmal wie gesagt die backup strategie überdenken, ggf. den im link genannten vorschlag testen (eigenes backup konto mit eigenem backup user) und bin trotzdem gespannt, ob es eurerseits weitere ideen gibt...

the other

 

[heavy]

Ok dann hatte ich (bzw mein Umfeld) bis jetzt sowohl Privat als auch Dienstlich Glück, denn es waren immer nur die Rechner selber betroffen. Gerade bei dem dienstlichen Rechner wäre es sonst richtig interressant geworden da er am Netz des Rathauses hing.

Intern wird einfach die komplette Platte verschlüsselt meißtens sogar über die Festplatten eigenen Mechanismen auf Netzlaufwerke hat man aber ja gar nicht so weitreichenden Zugriff. Gut wenn es jetzt doch Trojaner gibt, die die Daten verschlüsseln und dann überschreiben ->doof

@the other wenn die "Unterhaltung" so sachlich ist und dazu beiträgt uns alle auf den selben Stand der Dinge zu bringen dann war zum einem deine Frage nicht schlecht und fördert zum anderem zur Verbesserung der Antworten unserer Seits bei.

 

[Frogman]

Intern wird einfach die komplette Platte verschlüsselt meißtens sogar über die Festplatten eigenen Mechanismen auf Netzlaufwerke hat man aber ja gar nicht so weitreichenden Zugriff. Gut wenn es jetzt doch Trojaner gibt, die die Daten verschlüsseln und dann überschreiben ->doof

Ich will Dich nicht weiter verunsichern - aber solche Malware verschafft sich im Regelfall immer entsprechende Admin- bzw. Systemrechte und agiert damit auf allen zugänglichen Speichern, ob nun lokal oder als Netzlaufwerk, wenn dort dem betroffenen Rechner Schreibzugriff möglich ist. Sehr geschickte Varianten können sogar manipulierte BIOS-Updates einspielen, über die sie sich auch auf getauschte Platten einnisten und weiter über externe Datenträger und Netze verbreiten...

 

[heavy]

Wir reden an einander vorbei. Ich meine nicht irgendwelche schreibrechte auf User Ebene sondern der direkte Zugriff über den Sata/Speicher/Festplatten Controler und auf den hat man ja bei Netzwerklaufwerken keinen Zugriff. Auf dem lokalen Rechner hatte es keine Auswirkung wie man angemeldet war es wurde die ganze Platte (über alle Partitionen hinweg) verschlüsselt, selbst die Recovery Partition (auf die ja selbst der Admin keinen Zugriff hat) wurde verschlüsselt. Das kann ich ja als "normaler" User auf einem Netzwerklaufwerk nicht.

 

[Frogman]

...sondern der direkte Zugriff über den Sata/Speicher/Festplatten Controler und auf den hat man ja bei Netzwerklaufwerken keinen Zugriff. Auf dem lokalen Rechner hatte es keine Auswirkung wie man angemeldet war es wurde die ganze Platte (über alle Partitionen hinweg) verschlüsselt, selbst die Recovery Partition ....

Ich hatte Dich schon verstanden - aber Du mich vielleicht nicht. Kein Trojaner greift direkt auf den Controller zu, hier werden mit entsprechenden Rechten Hacks im System verankert, die sich in den Bootprozess einklinken (und dort sind selbstredend auch Zugriffe auf eine Recovery-Partition möglich, denn wie sonst solltest Du sonst damit Dein System wiederherstellen können...). Und solche Prozesse können auch aktiv werden, sobald das Netzwerk eingebunden ist, auf alles, was dann erreichbar ist.

 

[heavy]

Dann bist du der Meinung dass diese Hacks auch bei meiner NAS erfolgreich sein können und nicht nur die Daten (auf die ich schreibrechte habe) eventuell verschlüsselt werden sondern dann auch dort nach einem Neustart die Komplette NAS?

 

[Frogman]

Ich schrieb ja "alles, was dann erreichbar ist", mit Schreibrechten natürlich. Ein Root/Bootkit sitzt aber im Sattel, bevor Du Dich anmeldest oder auch systemeigene Schutzmechanismen wirken könnten, und kann dann schon aktiv sein auf allen zugänglichen Speichern. Meldest Du Dich dann an mit einer Kennung, die auf dem NAS über admin-Rechte alle Freigaben erreicht, sind die gefährdet. Ein Schädling, der sich allgemein über Systemgrenzen in ein BIOS oder Bootsektoren von Platten pflanzt, kann man guten Gewissens ausschließen - wobei das im Einzelfall für sehr ausgesuchte Geräte wohl auch nicht unmöglich wäre.

 

[Bordi]

Fakt ist das 100% nicht erreichbar ist, insofern auch nicht alles, egal ob gut oder böse.

Das Restrisiko zu senken, erfolgreich die Sicherheit erhöhen, bedeutet die Auswirkungen eines GAU zu senken.

 

[Tommes]

Das Restrisiko zu senken, erfolgreich die Sicherheit erhöhen, bedeutet die Auswirkungen eines GAU zu senken.

... denn es gibt nichts gutes, außer man tut es!