Emotet sicheres Backup ..

[ruckb]

Hallo,
nachdem in der letzten ct ein schöner Artikel über ein potentiell emotet sicheres Backup war, bin ich auch am überlegen wie ich das am besten implementiere..
die Lösung der ct mit einem extra abgesicherten Rechner nur für das Backup wäre erst mal möglich..

Aber ich vermute, dass es über die DS1019 und einem externen USB laufwerk auch so gehen muesste.
Bislang habe ich von Hand auf 2 Verschiedene Festplatten gesichert ..
Trotz insgesamt grosser Datenmenge im NAS kann ich ein Backup auf eine grosse Platte packen.
Aber vom Konzept manuell mit 2 Platten abwechselnd zu arbeiten würde ich gerne wegkommen.. in meinem Falle waren zwar beide Platten im Normalfall nicht am Rechner, aber manuell Backups zu machen ist halt auch sehr fehleranfällig (größte Fehlerquelle ist der innere Schweinehund..)

Rein aus Datensicherheits gründen wäre ich mit meinem Raid6, einer HotSpare und einem (täglichen) Backup erst mal glücklich. Bitte keine Diskussionen darüber ob das ausreicht oder nicht..
aber ich habe angst davor, dass ein Verschlüsselungstrojaner auf mein Backup kommt..
Noch habe ich nicht rausgefunden welches der Backuptools die es mit der DS gibt am besten geeignet sind ..
ich gehe mal davon aus, dass in meinem Falle ein externes USB Laufwerk die beste Option ist (cloud ist aus uploadgeschwindigkeit (und Datensicherheit) erst mal keine Option).

Ich hab schon mal ein paar threads gesehen die diskutieren wie ob man die Backupplatte verriegeln kann. Aber so ganz schlau bin ich daraus nicht geworden..

Wenn als jemand einen Thread kennt in dem eine Lösung drin stehet, wie man ein Backup am besten aufsetzt, so dass kein emotet dran kommt, aber ich die platte nicht jeden Tag an und abstöpseln muss wäre ich ganz glücklich..
Ich vermute mal eine sinnvolle versionierung muss dabei sein, damit in dem Falle mein Backuptool die guten daten nicht mit verschlüsselten überschreibt..

bin für jeden Hinweis dankbar..

Hermann

 

[Synchrotron]

Du kannst die USB-Platte nach dem Backup auswerfen, aber körperlich eingesteckt lassen. So lange die Verschlüsselungstrojaner nicht herausfinden, wie man das Laufwerk mountet, sind die Daten darauf dann sicher.

Allerdings gehen die V-Trojaner immer aktiver Richtung „finde und zerstöre die Backups“. Daher bin ich mir nicht sicher, was da noch kommt.

Ganz sicher ist es, die USB-Platte nach dem Backup körperlich auszustecken. Wenn der Job das nächste mal läuft, bricht er halt ab. Und du musst deinen Schweinehund nur davon überzeugen, den Stecker rein zu tun, zu mounten und den Job noch mal zu starten.

 

[blurrrr]

"Sicher" ist eigentlich nur "offline" und weil man sich auf "nur" offline auch nicht verlassen kann, halt besser min. 2x offline

 

[ruckb]

Ich denke eine Lösung wäre immer noch was selbstgebasteltes . eine gekauftes produkt hat immer definierte mechanismen .. eine IP Steckdose dich ich man per skript einschaltet und dann erst die HDD mounted sollte schon mal mehr Sicherheit geben.
Idee wäre unabhängig von der Backupsoftware die steckdose von mitternacht bis 6:00 uhr einschalten, und unabhängig davon das backup auf der DS anzuschemeissen (in der Hoffnung das ist bis 6:090 fertig ;-)

Oder wäre der Vorschlag aus der ct mit eigenem abgeschotteten Rechner besser als die Lösung eine USB HDD an der DS dranzuhaben ?
Es gibt im Paket Zentrum der DS mehrere Backup Tools ...aus der suche im Forum sehe ich öfters das Hyperbackup ... aber selbst das gibt es in verschiedenen Versionen .. hat jemand einen Vorschlag welches Tool ich verwenden sollte, um z.B:
- zwei USB festplatten an der DS1019 anschliessen (port vonr und hinten, oder besser port hinten per Hub)
- Einschalten von einer Platte über die Backup software per skript ... besser noch über Zeitschaltuhr ..
- Backup dann abwechselnd auf eine Platte

viele Grüße

Hermann

 

[Synchrotron]

Den Hub kannst du ausprobieren - nach anderen threads hier im Forum verweigern die Synos hartnäckig die Arbeit, wenn man einen Hub verwendet. Jedenfalls wurden bereits einige getestet und verworfen. Falls es also nicht funzt, den Hub mal woanders testen - vermutlich ist er nicht defekt.

Es ist bekannt, dass größere (lukrative) Firmennetzwerke per Einzelangriff gezielt aufgebrochen werden. Das ist eine andere Dimension. Ich denke, die meisten von uns müssen „lediglich“ einen automatisch ablaufenden, ungesteuerten Angriff ins Risikoszenario aufnehmen. Dagegen sollte eigentlich jede Form eines getrennten Backupmediums helfen. Es sollte aber immer 2 Backupstände geben, einer davon definitiv körperlich getrennt (und am besten an einem anderen Ort aufbewahrt). Emotet ist nicht das einzige, was unseren Daten passieren kann.

 

[ruckb]

Das mit dem Hub habe ich irgenwie befürchtet . .aber zumindest hat meine DS 2 USB prorts .. einen vorne, einen hinten.

Ja das mit den gezielten Angriffen sehe ich auch so .. und vor allem geht es mir eben darum mein Backup sinnvoll offline zu nehmen .. und die Lösung mit der Zeitschaltuhr würde ich ganz gut finden, damit wären meine Backup Laufwerke sehr definiert vom Netz ohne dass ich mich drum kümmern muss . .nicht mal ein Virus könnte die dann einbinden.

.. aber ich muss halt das Einbinden, das Auswerfen, und backup abwechselnd auf je eine Platte automatisieren.. da ist die Frage ob ich das per hyperbackup sinnvoll in der Griff bekomme .. mal schauen..

 

[NSFH]

Die Ideallösung ist immer eine zweite DS, dass habe ich an anderer Stelle schon weitestgehend erklärt wie das optimal funktioniert.
Ansonsten gehen auch 2 ext HDs verbunden mit 2 Zeitschaltuhren, die auf den Backupzeitraum eingestellt sind. Bekommt die ext. HD Strom erkennt das die Syno und mountet sie auch automatisch. dann kann das Backup laufen. Das Auswerfen der HD sollte dann die Syno machen.

 

[peterhoffmann]

Neben zwei externen Sicherungen habe ich eine zusätzliche interne Sicherung von wichtigen Daten (Volume1 auf Volume2), unterteilt in mehreren Zeitbereichen (Woche, Monat, Jahr).

Diese Sicherung erfolgt über ein Script auf der Konsole in einen gemeinsamen Ordner, der von außen nicht erreichbar ist und kein User auf der DS Zugriff darauf hat. Eine Verschlüsselungssoftware auf einem beliebigen Rechner im Netzwerk sieht diesen Ordner auf der DS gar nicht. Ein direkter Zugriff ist auch nicht möglich.

Das ist natürlich alles immer eine Frage der Datenmenge. Die wirklich wichtigen Daten sind bei mir im zweistelligen Gigabytebereich. Bei der geringen Datenmenge kann man sich den Luxus von insgesamt 6 Sicherungen auf 3 verschiedenen Zielen erlauben.

Zusätzlich habe ich auf der DS mehrere (erreichbare!) Testdateien (docx, jpg, pdf, usw.) als Honeypot verteilt, die mehrfach am Tag durch die DS auf Echtheit geprüft (md5sum) geprüft werden. Sobald sich an den Dateien was ändert, bekomme ich sofort eine Nachricht.

 

[Zweimot]

Dann sage ich mal, wie wir es hier gemacht haben:

Server 1 ist der Arbeitsserver: Gut aufgerüstet, auf dem läuft alles. VPN, Drive, Apple Time Machine und vieles mehr. Eine DS1618+ RAID6. Auf dem wird gearbeitet.

Server 2, Backup
1. Empfängt stündliche Sicherung der wichtigsten Arbeitsordner von Server 1 per Hyper Backup.
2. Empfängt tägliche Komplettsicherung in der späten Nacht, ebenfalls von Server 1 per Hyper Backup.
3. Stündliche Spiegelung eines wichtigen Arbeitsordners von 1
Dieser Server ist abgedichtet wie ein Weinfass im Keller der Anonymen Alkoholiker: Nur die zur Sicherung nötigen Ports sind offen, von außen nicht erreichbar.

Sicherungsplatte: angeschlossen per USB hier am Backum-Server
• Empfängt Komplettsicherung wie Pos 2 von Arbeitsserver per Hyper Backup direkt auf diese Platte. Jeden Samstag. Nur dazu wird die Platte samstags händische eingeschaltet und am Abend wieder ausgeschaltet. Denn nur eine kalte Platte ist für Verschlüsselungssoftware nicht erreichbar. Dieses Gerät will ich demnächst durch eine gebrauchte und billige DS ersetzen, die sich selbst ein- und wieder ausschaltet und am internen Netz hängt.

Kosten: Wir hatten mal einen Totalausfall. Vier Platten RAID5, eine ist ausgestiegen, dann bei der Wiederherstellung der Ersatzplatte eine weitere. Der Datenretter konnte helfen, Kostenpunkt 3.500 Euro. Da sind zwei ältere DSXX - zur Sicherung genügen einfache Gebrauchtmaschinen - samt Platten billiger als eine solche Katastrophe.

 

[NSFH]

Neben zwei externen Sicherungen habe ich eine zusätzliche interne Sicherung von wichtigen Daten (Volume1 auf Volume2), unterteilt in mehreren Zeitbereichen (Woche, Monat, Jahr).

Diese Sicherung erfolgt über ein Script auf der Konsole in einen gemeinsamen Ordner, der von außen nicht erreichbar ist und kein User auf der DS Zugriff darauf hat. Eine Verschlüsselungssoftware auf einem beliebigen Rechner im Netzwerk sieht diesen Ordner auf der DS gar nicht. Ein direkter Zugriff ist auch nicht möglich.
.....

Quatsch mit Sauce! Für jemanden, der hier immer vorgibt der Superkluge zu sein wieder mal ein Falschinformation.
Die besondere Fähigkeit von Emotet ist das Ausspähen von Passwörtern und damit auch des Admin oder beliebigen anderen Accounts. Mit diesem so erspähten Account durchforstet Emotet auch Serververzeichnisse. Daher ist grundsätzlich alles, was auf einem Server liegt gefährdet, auch "versteckte" Laufwerke oder Verzeichnisse.
Diese Vorgehensweise des Schutzes vor Ransomware ist also absolut unbrauchbar und taugt nur als normale Sicherung, wenn auch auf einem Medium, das bei einem Defekt sowohl das Original als auch das Backup schrottet.

Und "Honeypod"? Blödsinn, bevor deine Software was bemerkt sind die Daten schon verschlüsselt, mal ganz davon abgesehen, dass ein honeypod was gänzlich anderes ist.
Und jetzt darfst du gerne wieder deine obligatorischen Beleidungen per PIN schicken.......

 

[peterhoffmann]

Superkluge

Das sagt der, der meint, dass der Router und nicht der Switch im Zentrum eines Netzwerkes sitzt...

Die besondere Fähigkeit von Emotet ist das Ausspähen von Passwörtern

Ok, mir war wohl noch nicht bewusst, dass diese Software zwischenzeitlich sogar in meinem eigenen Kopf Passwörter auslesen kann. Diese Technik heutzutage ist ja echt der Wahnsinn. Aber die gibt es wohl nur bei dir.

Sogar dir als Schmalspurrouterbediener sollten Mittel und Wege einfallen um dieses furchtbare Ausspähen einer solchen KI-Raketentechnikransomware zu verhindern.

 

[Tuvok42]

Auch ich fand nach Studium des Eingangs erwähnten c't-Artikel die "Pull"-Variante als Emotet-sichere Möglichkeit. Aus Mangel an Wissen: Wenn ich von einem Rechner/NAS auf den zu sichernden PC zugreife, benötige ich auf diesen entsprechende Zugriffsrechte (die auch im PC hinterlegt sind). Diese sollten somit nicht mit Anmeldedaten auf dem Rechner/NAS (von dem aus das Backup "geholt" wird) identisch sein. Somit habe ich auf dem zu sichernden PC 2 Benutzer, die Zugriff auf die zu sichernden Dateien: PC-Standarduser und NAS-Backupuser. Auf dem Rechner/NAS (von dem aus das Backup "geholt" wird) habe ich 1 Benutzer: NAS-Anmeldeuser. Im Skript muss ich jetzt also das PC-Verzeichnis mit dem NAS-Backupuser verbinden. Wäre "sudo mount -t cifs -o user=NAS-Backupuser,domain=PCdomain //192.168.1.100/freigabe /mnt" dann der richtige Befehl? Wenn Ja: Welchen Wert muss ich für "PCdomain" eintragen bzw. wo definiere ich diesen auf dem PC?

 

[blurrrr]

Hast Du eine interne Domäne? Vermutlich nicht, also brauchst Du es auch nicht... Zudem sollte man auch nicht direkt nach /mnt mounten, sondern in einen entsprechenden Unterordner (z.B. /mnt/pc-backup). Was den mount-Befehl angeht: https://manpages.debian.org/buster/manpages-de/mount.8.de.html

Ansonsten einfach mal Tante Google befragen

Btw ein Backup kann nur sicher sein, wenn das "zu sichernde" System keinen Zugriff auf das Backup hat. Bei einem normalen Fullbackup (also alle Daten) hat das "sichernde" System im besten Fall auch nur Lese-Zugriff, da man sich um Dinge wie das Archiv-Flag auch nicht kümmern braucht. Bei inkrementeller/differentieller Sicherung sieht das mitunter schon wieder anders aus.

 

[weyon]

Eine Sicherung z.B. Auf ein Nas bei einem Freund und/oder in die C2 Cloud und zusätzlich auf 3 rotierende (Regelmäßig) externe USB Disks. Dazu noch die Snapshots bei BTRFS einschalten. Damit ist man gegen alle Eventualitäten (Ds brennt ab, Überspannung, Virus, Polizeidurchsuchung, usw.) gewappnet.

 

[NSFH]

........
Ok, mir war wohl noch nicht bewusst, dass diese Software zwischenzeitlich sogar in meinem eigenen Kopf Passwörter auslesen kann. Diese Technik heutzutage ist ja echt der Wahnsinn. Aber die gibt es wohl nur bei dir. .

Bist ja ein echter Crack! Du hast also deine Paswörter alle in deinem Kopf, sie sind nicht mehr irgendwo auf dem Server hinterlegt und werden auch nicht mehr benötigt um auf bestimmte Bereiche deiner Syno zuzugreifen?
Geil, also liest die Syno jetzt aus deinem Gehirn die Passwörter aus, so ganz ohne Tastatur und Übertragung via LAN. Wahnsinn!!!
Dann hast du natürlich absolut Recht! Gehirnübertragungen kann Emotet noch nicht.
Sorry, dass ich deine Kompetenz so in Frage gestellt habe! Da kann ich dir nicht das Wasser reichen.

 

[ruckb]

Hallo,
erst mal vielen Dank für die guten Informationen und auch die Erheiterung in dem thread! Etwas lustiges kann man bei den Zeiten immer brauchen.

eine zweite und dritte DS um 2 backups and 2 orten zu haben wäre zwar nett, ist mir aber doch zu aufwendig und teuer.
Ich hab mich jetzt für 2 USB HDDs entschieden (Seagate Backup plus 10TB) die ich per Zeitschaltuhr abwechselnd fürs Backup an die 2 Ports der DS hänge (zumindest so der Plan).
Eigentlich hätte ich mich als bisher treuer Nutzer von WD red Platten für die WD Elements entschieden, aber da hat mich WD mit der Umstellung auf SMR bei den AEX Platten ziemlich verärgert. Hätte erst mal kein Problem damit (auch wenn eine Platte ausgefallen ist), aber wenn WD die Platten für NAS/RAID empfiehlt ist das für mich Irreführende Werbung. ob da Seagate besser ist weiss ich aber nicht.. wobei das für die Backup platte noch nicht ganz so wichtig ist.

Danke noch mal für das feedback (und die Erheiterung)

Hermann

 

[peterhoffmann]

Passwörter alle in deinem Kopf

Warum alle? Nur eins ist hier nötig und ja, das ist im Kopf gespeichert.

sie sind nicht mehr irgendwo auf dem Server hinterlegt und werden auch nicht mehr benötigt um auf bestimmte Bereiche deiner Syno zuzugreifen?

Nein und nein.

also liest die Syno jetzt aus deinem Gehirn die Passwörter aus, so ganz ohne Tastatur und Übertragung via LAN

Ich habe hier im Forum u.a. das Script öfters ins Spiel gebracht, womit sich die Syno beim Neustart das Passwort für die Verschlüsselung aus mehreren Quellen zusammensetzt und die Ordner entschlüsselt. Wie man vielleicht daran sieht, denke ich gerne auch mal um die Ecke bzw. aus der Sicht eines Angreifers. Daher sind meine Passwörter, Phrasen etc. auch nicht so einfach auf dem PC gespeichert, geschweige z.B. in Putty hinterlegt. Da gibt es Mittel und leichte Wege, auch ohne Tastatur oder ähnliche Lücken.

Dabei darf man nicht vergessen, dass diese Methode generell nicht als alleiniges Mittel genommen werden darf. Schon daher, weil diese Sicherung auf dem gleichen Gerät liegt. Ich nutze sie für meine Kerndaten um sie in mehreren Versionen (Woche, Monat, Jahr) vorliegen zu haben. Diese Kerndaten liegen auch auf anderen Geräten (2x externes Backup). Aber das hast du natürlich in deiner Wut über mich gerne überlesen. Sachlich und fair ist ja nicht so dein Ding.

Und nu geh' mit deinem Router spielen. Warte mal..., deine Schleichwerbung für den Draytek hast du heute noch gar nicht im Forum erwähnt:
Draytek, der verbiegt kein Bit.
So, hab' ich jetzt für dich erledigt.

 

[peterhoffmann]

Ich hab mich jetzt für 2 USB HDDs entschieden (Seagate Backup plus 10TB) die ich per Zeitschaltuhr abwechselnd fürs Backup an die 2 Ports der DS hänge

Wenn das dein einziges Backup ist, habe ich Einwände.
Durch die dauerhafte Verbindung beider externen HDDs per USB sehe ich die Gefahr von Blitzschlag, Diebstahl, Brand- und Wasserschaden.

eine zweite und dritte DS

Die kleinste DS liegt bei ca. 100 Euro (neu).
Denkbar als Lösung wäre ja eine externe HDD per Zeitschaltuhr an die DS und eine (billige) zweite DS an einem anderen Ort. Verglichen mit deiner jetzigen Lösung liegt diese Variante um nur 100 Euro darüber, bei einer gebrauchten DS sogar nur ca. 50 Euro.

 

[ruckb]

Hallo peterhoffmann
,
Deinen Einwänden gebe ich recht.. man kann nicht alles haben ..
ja, Brand/Wasserschaden decken bei mir aktuell nur Archive ab die ich manuell immer wieder mal mache. (leider nicht häufig genug ... vielleicht muss ich das mit dem neuen Setup öfters mal machen).
Blitzschlag: zumindest hängt die DS und die externe HDD an einer Steckdose mit Überspannungsschutz. Ob der was hilft? keine Ahnung!

Gegen jede Art von Cloud oder externes Datenlage (egal ob für backup oder normale Anwendung) sprechen bei mir die Datenmengen. Ich habs mir zwar nicht durchgerechnet, aber ich vermute mal, selbst wenn die Backups tag und Nacht laufen schaffen die kein tägliches backup. Ja, man könnte jetzt noch mal in die Backup Strategie stecken (was muss wirklich gesichert werden, incrementelle backups, ... ) aber ich muss in meiner wenigen freien Zeit (hätte auch gerne Kurzarbeit) Geld verdienen. also muss das ganze mit möglichst wenig Aufwand und Pflege laufen .. jede art von optimierung wir in 3 monaten wieder obsolet sein, weil sich an meinem Setup was geändert hat.. bez. incrementellen Backup: ein gebranntes Kind schaut das Feuer .. hatte zwar keinen Datenverlust, aber mehrere Versuche incrementelle backups mit Acronis wieder einzulesen sind gescheitert (traue einem Backup erst,wenn du es einmal wiederhergestellt hast).
==> keine Einschränkung und Experimente: Alles was irgendmöglich ist kommt vollständig und in einem Schuss ins Backup

Ich muss mir jetzt eh noch hyperbackup anschauen.. und auf die Schnelle bin ich da schon an der ersten Eingabemaske gescheitert (habs sicher schon mal erwähnt, dass ich eigentlich zu blöd für so ein NAS bin)
Hab jetzt eh schon viel zu viel Zeit in die Projekte "NAS" und "Backup" investiert .
Lücken hat man immer, und ich hoffe, damit habe ich zumindest die gröbsten Lücken abgedeckt..

Hermann

 

[jabbar]

Hallo zusammen,
hat jemand ein "Backup des Backup" per Snapshot Replication auf eine 2. NAS in Betracht gezogen?
https://www.synology.com/de-de/dsm/feature/snapshot_replication
https://www.youtube.com/watch?v=vlQnvIAyFg4
und noch diese Quelle:
https://www.security-insider.de/nas-systeme-gegen-ransomware-schuetzen-a-750870/

Gruß Lars