Schutz der Netzlaufwerke vor Ransomware

[Frogman]

Mir ist überhaupt nicht eingängig, wieso eine Rechteeskalation auf einem anderen Rechner (Synology) unter einem höchstwahrscheinlich anderen OS (Linux) keine wirkliche Hürde darstellen sollte.

Jüngst beobachtete Ransomware war so intelligent gemacht, dass auch Netzlaufwerke, die zuvor nicht eingehängt waren, kompromittiert wurden. Jeder, der sich ansatzweise mit derartiger Malware beschäftigt, weiß, dass ein simples Keylogging zur Grundausstattung gehört und darüber hinaus auch Cacheanalysen - und so etwas auch bei den beobachteten Varianten zum Einsatz gekommen sein dürfte - damit ist Dein "Schutz" spätestens dann, wenn Du Dich per Webinterface als schreibberechtigter User (oder gar admin) auf der DS anmeldest, wertlos.

 

[dozzo]

Hä?

Das versteh ich jetzt gar nich... wenn der User sich über seinen Win/Osx Client erst mal einen Schadcode eingefangen hat,
ist es doch für einen "echten" Hacker -wo ich voraussetze, daß er tiefe Kenntnisse von Unix hat - entweder einen weiteren
Schadcode nachlädt nachdem die erste SW dein Netz gescannt hat, oder er machts halt gleich so geschickt, daß ers vom client
her anstösst. Also Möglichkeiten gibts da genug...

Daher ist mir Deine Aussage unklar, sonst würden ja niemals Unix Server über die Clients infiziert werden können.

 

[Frogman]

Die Verschlüsselung der Netzlaufwerke hat in diesen Fällen vom Clientrechner her stattgefunden - und die dazu notwendigen Zugriffsdaten hat dich die Malware offenbar gesucht (was, wie geschrieben, auch bereits in anderen Fällen durch Keylogger oder dem gezielten Durchsuchen von gecachten Daten möglich war).

 

[Iarn]

Sorry Frogman, Du verwendest zu viele Annahmen und Spekulationen, um hier irgendeine Allgemeingültigkeit abzuleiten.

Beispielsweise nutze ich in meinem persönlichen Anwendungsfall meine Windowskiste nur lesend an den Synologys mit einem eingeschränkten Account. Meinen Admin Account nutze ich nur von meiner Linuxkiste aus.
So und jetzt komme Du mir wie eine kompromittierte Windowskiste an die Zugänge kommt, Netzwerksniffer funktioniert in meinem Fall auch nicht dank Subnetzen und ehrlich gesagt habe ich noch von keine Schadsoftware mit Netzwerksniffer gehört.

Natürlich ist das nur ein Anwendungsfall, aber es gibt noch andere in denen das sparsame Nutzen von Privilegien weiterhilft. Ansonsten stößt mir hier ein weiteres Mal Deine in meinen Augen überhebliche Art extrem sauer auf.

 

[Frogman]

Sorry, Du konstruierst hier einen exotischen Zustand, der im Regelfall weit weg von der Realität ist (auch von dem geschilderten Szenario des TE) und keineswegs Deiner pauschalen Beurteilung aus #17genügt, der Entzug von Schreibrechten sei ein sehr gutes Mittel für den TE - um nichts ging es in meiner Anmerkung (wobei es grundsätzlich sicherlich immer eine gute Idee ist, nur mit den notwendigen Rechten zu arbeiten). Dabei darf Dir das Ganze weiterhin nicht eingängig bleiben, denn in dieser Betrachtung geht es überhaupt nicht um richtig oder falsch, daher vertiefe ich mich mit Dir hier auch gar nicht weiter.

...und ehrlich gesagt habe ich noch von keine Schadsoftware mit Netzwerksniffer gehört.

Was aber nicht bedeutet, dass es das nicht gäbe, denn so etwas ist bereits seit mehr als zwei Jahren Realität - nachzulesen bspw. hier. Du solltest vielleicht keine Dinge ungeprüft in Frage stellen, die keine Spekulation sind... so etwas stößt mir im Übrigen auch unangenehm auf bei Dir.

 

[Adi82]

Das mit dem Keylogger hab ich gar nicht bedacht.
Wenn das Teil erstmal heimlich drauf ist und zunächst nur Informationen sammelt, bevor es beginnt zu verschlüsseln, hat es natürlich die Zugangsdaten und kann sich entspannt auf dem Netzlaufwerk einloggen.
Somit würde ich mir nur unnötig das Leben schwerer machen.

Also einziger Schutz ist eine gute und regelmäßig Backupstrategie auf eine Platte, die sonst nie an den Rechner gehängt wird.

Also so wie ich es jetzt eh schon mache nur etwas stringenter.
Da meine externe Platte für den NAS langsam zu klein wird, werde ich mir ne größere zulegen und hier über einen Job den ganzen NAS sichern. Dafür hänge ich die Platte hinterher wieder ab.
Die bisherige kleinere Platte werde ich noch zusätzlich für manuelle Backups von Fotos nutzen und das genügt vielleicht alle 1-2 Monate mal.

Fertig aus und die rechte bleiben wie sie sind.
Die dann zusätzlich redundant und manuell durchgeführt werden

 

[Frogman]

...Also einziger Schutz ist eine gute und regelmäßig Backupstrategie auf eine Platte, die sonst nie an den Rechner gehängt wird.

Noch besser wäre ein rollierendes Backup auf mindestens zwei externen Platten - im Extremfall könnten Daten gerade vor oder bei der Sicherung auf eine externe Platte verschlüsselt werden, dann hilft Dir nur eine Sicherung, die Du zuvor auf einer anderen Platte angelegt hast. Handelt es sich um statische Daten wie Bilder usw., die man verifiziert unverschlüsselt auf eine externe Platte gebracht hat, kann man die als Notanker auch dauerhaft in den Schrank legen und für den Zugriff bspw. über ein gebootetes (und sicheres) Live-Linux an einen Rechner hängen.