Schutz vor Ransomware
- Ersteller t_korth
- Erstellt am
- Status
- Mitglied seit
- 09. Nov 2016
- Beiträge
- 4.093
- Punkte für Reaktionen
- 570
- Punkte
- 194
Ransomware verschlüsselt alles, was direkt am PC angeschlossen ist. Dazu gehören auch Netzwerklaufwerke, die via SMB connected sind.
Dazu gehört nicht die Backup Synology, auf der nur HyperbackupVault läuft und sonst kein anderes Nw-Dienst.
Bei einem Backup werden zwar dann verschlüsselte Dateien auf dem Backupsystem gespeichert, diese haben aber keine Auswirkungen auf die vorigen, unverschlüsselten Versionen. Ransomware hat hier keine Möglichkeit auf das Dateisystem zuzugreifen. Von daher ist diese Konfiguratiuon neben der C2 (oder vergleichbaren) Variante die beste Option!
Wer also regelmässige Backups fahren will sollte sich nach einen kleinen (gebrauchten?) Syno umtun die dann irgendwo im heimischen LAN still in der Ecke steht, sich zeitgesteuert einschaltet und die Datensicherung zieht.
Für die jetzt kommenden Schlaumeier: Nein das hilft nicht bei Feuer, Diebstahl oder Blitzschlag.....
Dazu gehört nicht die Backup Synology, auf der nur HyperbackupVault läuft und sonst kein anderes Nw-Dienst.
Bei einem Backup werden zwar dann verschlüsselte Dateien auf dem Backupsystem gespeichert, diese haben aber keine Auswirkungen auf die vorigen, unverschlüsselten Versionen. Ransomware hat hier keine Möglichkeit auf das Dateisystem zuzugreifen. Von daher ist diese Konfiguratiuon neben der C2 (oder vergleichbaren) Variante die beste Option!
Wer also regelmässige Backups fahren will sollte sich nach einen kleinen (gebrauchten?) Syno umtun die dann irgendwo im heimischen LAN still in der Ecke steht, sich zeitgesteuert einschaltet und die Datensicherung zieht.
Für die jetzt kommenden Schlaumeier: Nein das hilft nicht bei Feuer, Diebstahl oder Blitzschlag.....
- Mitglied seit
- 11. Jun 2019
- Beiträge
- 3.574
- Punkte für Reaktionen
- 883
- Punkte
- 174
Und die 55TB (gratuliere) ändern sich permanent, sodass ein 24/7-Backup erforderlich ist?
- Mitglied seit
- 13. Jul 2019
- Beiträge
- 5.097
- Punkte für Reaktionen
- 2.065
- Punkte
- 259
@mgutt: Respekt für deine Überlegungen.
Der letzte Satz passt allerdings auch in das Buch mit dem Titel „Berühmte letzte Worte“ ;-)
Der letzte Satz passt allerdings auch in das Buch mit dem Titel „Berühmte letzte Worte“ ;-)
Nein das nicht, aber wie will man das bequem umsetzen, wenn man mehrere externe Laufwerke benötigt um alle Daten abzudecken. Da müsste man entweder seine Daten auf mehrere Volumes verteilen, die alle der Größe der externen Laufwerke entsprechen und was scripten, das automatisch im Wechsel die Volumens sichert (= unflexibel und umständlich) oder man schafft sich ein USB Gehäuse mit mindestens 4-Bays an und betreibt das als JBOD. Was hat man dann.. ein NAS ^^
Die Frage ist eben welchen Mehrwert ich dadurch habe. Aktuell habe ich zwei NAS. Mache ich es mit einer externen offline Lösung, bräuchte ich drei NAS.
Ich mein ich fahre manchmal auch mit einer USB-Platte zu meiner Mutter, aber nur wenn ich sehr viele neue Daten habe, wo der Upload einfach zu lange dauern würde. In dem Fall kopiere ich die manuell drauf. Beim nächsten Sync durch wget werden die dann übersprungen. Sollte bei mir extrem viel gelöscht werden oder ein Angriff alles verschlüsseln, greift bei wget die Versionierung und die Platte läuft voll = Fehler = E-Mail an mich.
@Synchrotron
Wenn man nicht die Kohle ausgeben will, muss man kreativ werden ^^
Diese Konstellation wäre aber auch angreifbar bei Sicherheitslücken wie Synolocker, die lokal ausgenutzt werden. Also zB durch einen Trojaner, den sich ein Client einfängt.
Zuletzt bearbeitet:
- Mitglied seit
- 09. Nov 2016
- Beiträge
- 4.093
- Punkte für Reaktionen
- 570
- Punkte
- 194
Ganz sicher nicht. Synolocker gab es mal zu Zeiten von DSM4.
Ausserdem macht man ein Backupsystem mittels Firewall und fest definierter Clients mit Zugriffsrecht komplett zu. Neben der genau definierten Hyperbackup Schnittstelle würde ein Android Smartphone mit Zugriff auf Port5001 zur Administration ausreichen. Ausserdem läuft die Datensicherung zu Zeiten, wo deine Clients aus sind. Von daher hätte selbst der damalige Synolocker nicht gegriffen.
Hast du dann noch Backup for Business laufen, womit du die Installationen deiner Clients gesichert hast wäre ein Ransombefall schon kein worst case mehr.
Ausserdem macht man ein Backupsystem mittels Firewall und fest definierter Clients mit Zugriffsrecht komplett zu. Neben der genau definierten Hyperbackup Schnittstelle würde ein Android Smartphone mit Zugriff auf Port5001 zur Administration ausreichen. Ausserdem läuft die Datensicherung zu Zeiten, wo deine Clients aus sind. Von daher hätte selbst der damalige Synolocker nicht gegriffen.
Hast du dann noch Backup for Business laufen, womit du die Installationen deiner Clients gesichert hast wäre ein Ransombefall schon kein worst case mehr.
@NSFH
Synolocker ist nur ein Beispiel dafür was jederzeit wieder passieren kann. HyberBackupVault ist ja auch nur eine Software, die auf einem Port lauscht und eine Sicherheitslücke besitzen kann. Die Firewall bringt dir da nichts, da ja genau dieser Weg zwischen NAS und Client offen ist. Auch kann die Lücke in anderen Komponenten des NAS enthalten sein. Ich erinnere an Heartbleed.
EDIT:
Ach so. Du meinst, dass du ein NAS und ein Backup-NAS hast und das Backup-NAS eingehend nur Anfragen von der IP des NAS erlaubt und nur außerhalb der Geschäftszeiten eingeschaltet ist. Das grenzt es ein, aber es bleibt nach wie vor die Möglichkeit, dass sich ein Client die IP des NAS schnappt oder das NAS selbst der Angreifer ist (weil das wegen Sicherheitslücken durch einen verseuchten Client übernommen wurde). Im Privatsektor wegen der Hürden eher unwahrscheinlich, aber wenn der Angreifer ein hohes Lösegeld erwartet, dann wird er sich mehr Mühe geben. Mittlere und größere Unternehmen werden daher grundsätzlich manuell per Ransomware attackiert.
Am Ende funktioniert diese Konstellation aber auch nur mit drei NAS (wenn man auch Einbruch und Blitzschlag ausschließen will).
P.S. ein per USB angeschlossenes Backup-NAS wäre in dem Fall sicherer. Denn das besäße gar keine Netzwerk-Verbindung. Oder vielleicht eine Direktverbindung über einen oder mehrere separate LAN-Ports.
Synolocker ist nur ein Beispiel dafür was jederzeit wieder passieren kann. HyberBackupVault ist ja auch nur eine Software, die auf einem Port lauscht und eine Sicherheitslücke besitzen kann. Die Firewall bringt dir da nichts, da ja genau dieser Weg zwischen NAS und Client offen ist. Auch kann die Lücke in anderen Komponenten des NAS enthalten sein. Ich erinnere an Heartbleed.
EDIT:
Ach so. Du meinst, dass du ein NAS und ein Backup-NAS hast und das Backup-NAS eingehend nur Anfragen von der IP des NAS erlaubt und nur außerhalb der Geschäftszeiten eingeschaltet ist. Das grenzt es ein, aber es bleibt nach wie vor die Möglichkeit, dass sich ein Client die IP des NAS schnappt oder das NAS selbst der Angreifer ist (weil das wegen Sicherheitslücken durch einen verseuchten Client übernommen wurde). Im Privatsektor wegen der Hürden eher unwahrscheinlich, aber wenn der Angreifer ein hohes Lösegeld erwartet, dann wird er sich mehr Mühe geben. Mittlere und größere Unternehmen werden daher grundsätzlich manuell per Ransomware attackiert.
Am Ende funktioniert diese Konstellation aber auch nur mit drei NAS (wenn man auch Einbruch und Blitzschlag ausschließen will).
P.S. ein per USB angeschlossenes Backup-NAS wäre in dem Fall sicherer. Denn das besäße gar keine Netzwerk-Verbindung. Oder vielleicht eine Direktverbindung über einen oder mehrere separate LAN-Ports.
Zuletzt bearbeitet:
- Mitglied seit
- 11. Jun 2019
- Beiträge
- 3.574
- Punkte für Reaktionen
- 883
- Punkte
- 174
Bequem gar nicht. Nur für die Daten, die sich nicht (mehr) ändern, gibt es ein Backup, das 1x/Monat läuft, für den Rest das tagesaktuelle.
Das klingt alles sehr komplex und nach einer extrem aufwändigen und teuren Lösung.
Hab ich das nun richtig verstanden: Wenn man lediglich einen NAS hat, wäre es also der beste Weg, dass der NAS die Backupdaten vom PC abholt anstatt umgekehrt?
Gibt es da vielleicht eine Backuplösung, die auf dem PC ein Client-Programm hat und auf dem Synologie einen zugehörigen Serverdienst? Ist das dieses HyperbackupVault? Wenn PC und NAS nur über irgendeine proprietäre Verbindung Daten austauschen anstatt über Samba verfügen würden, müsste das doch zumindest insofern sicher sein, dass ein Angriff vom PC aus auf den NAS unmöglich ist (außer NAS-Sicherheitslücken), weil der NAS laufwerksmäßig vom PC aus "unsichtbar" ist im Netz, oder? Ich frag einfach mal relativ naiv...
Hab ich das nun richtig verstanden: Wenn man lediglich einen NAS hat, wäre es also der beste Weg, dass der NAS die Backupdaten vom PC abholt anstatt umgekehrt?
Gibt es da vielleicht eine Backuplösung, die auf dem PC ein Client-Programm hat und auf dem Synologie einen zugehörigen Serverdienst? Ist das dieses HyperbackupVault? Wenn PC und NAS nur über irgendeine proprietäre Verbindung Daten austauschen anstatt über Samba verfügen würden, müsste das doch zumindest insofern sicher sein, dass ein Angriff vom PC aus auf den NAS unmöglich ist (außer NAS-Sicherheitslücken), weil der NAS laufwerksmäßig vom PC aus "unsichtbar" ist im Netz, oder? Ich frag einfach mal relativ naiv...
So sieht das aus. Das ist quasi ein SMB ohne "Überschreibrechte". Das selbe kannst du aber auch mit dem Abholen erreichen oder in dem das NAS die Daten nach dem Hochladen in einen Ordner verschiebt, der nicht über SMB erreichbar ist. Das Prinzip ist immer das selbe.
Das bringt mir leider nichts, da zwar die meisten Daten bleiben so wie sie sind, weshalb das ja auch gut mit dem Upload geht, aber wenn es Änderungen gibt, dann eben irgendwo mittendrin. Das ginge wenn nur über das Änderungsdatum der Dateien. Also letztes Backup war am 01.01., jetzt nur noch Dateien ab dem 02.01. sichern. Nur dann erfasst man keine Löschungen. Die Daten hat man dann zwar alle, aber die Wiederherstellung resultiert dann nicht den Stand, den man vorher hatte. Also wenn man das so machen will, dann macht das denke ich nur mit JBOD Sinn. Es gibt ja ab und zu die WD My Cloud Duo mit 24TB im Angebot. Damit kann man das gut machen. Mir nur leider zu klein ^^
Das bringt mir leider nichts, da zwar die meisten Daten bleiben so wie sie sind, weshalb das ja auch gut mit dem Upload geht, aber wenn es Änderungen gibt, dann eben irgendwo mittendrin. Das ginge wenn nur über das Änderungsdatum der Dateien. Also letztes Backup war am 01.01., jetzt nur noch Dateien ab dem 02.01. sichern. Nur dann erfasst man keine Löschungen. Die Daten hat man dann zwar alle, aber die Wiederherstellung resultiert dann nicht den Stand, den man vorher hatte. Also wenn man das so machen will, dann macht das denke ich nur mit JBOD Sinn. Es gibt ja ab und zu die WD My Cloud Duo mit 24TB im Angebot. Damit kann man das gut machen. Mir nur leider zu klein ^^
Zuletzt bearbeitet:
- Mitglied seit
- 09. Nov 2016
- Beiträge
- 4.093
- Punkte für Reaktionen
- 570
- Punkte
- 194
Datensicherheit hat immer etwas mit Paranoia zu tun. Egal welche Bachuplösung wir hier disakutieren, ausnahmslos jede lässt sich potentiell aushebeln.
Von daher ist es barer Unsinn alles zu verreissen sondern man muss sich für eine Lösung entscheiden, welche den eigenen Ansprüchen genügt und dazu ein möglichst hohes Mass an Sicherheit bei vertretbarem Aufwand gewährleistet.
Da gibt es nur2 (3) Varianten:
externer USB/eSATA Datenträger, der nur für Backups angeschlossen wird.
Paranoia Mode ON: In dem Moment wo diese Verbindung zum NAS hergestellt wird besteht Zugriffsmöglichkeit durch die RANSOM Software. NAS weg, Backup weg!
Datenback auf eine zweite DS mittels Hyperbackup (Variante 3: Backup in die Cloud statt auf die DS)
Hier besteht nie eine Verbindung die durch eine Schadsoftware ausgenutzt werden kann. Durch die Versionisierung sind nur aktuell betroffene Daten verloren, nicht die Vorgänger.
Paranoia Mode ON: Irgendwann entwickelt jemand eine Schadsoftware, die genau auf diese Anwendung zugeschnitten ist
Wer nur im Paranoia-Modus denkt sollte daher ganz auf Backups verzichten, man kann es ihm sowieso nicht Recht machen.
Von daher ist es barer Unsinn alles zu verreissen sondern man muss sich für eine Lösung entscheiden, welche den eigenen Ansprüchen genügt und dazu ein möglichst hohes Mass an Sicherheit bei vertretbarem Aufwand gewährleistet.
Da gibt es nur2 (3) Varianten:
externer USB/eSATA Datenträger, der nur für Backups angeschlossen wird.
Paranoia Mode ON: In dem Moment wo diese Verbindung zum NAS hergestellt wird besteht Zugriffsmöglichkeit durch die RANSOM Software. NAS weg, Backup weg!
Datenback auf eine zweite DS mittels Hyperbackup (Variante 3: Backup in die Cloud statt auf die DS)
Hier besteht nie eine Verbindung die durch eine Schadsoftware ausgenutzt werden kann. Durch die Versionisierung sind nur aktuell betroffene Daten verloren, nicht die Vorgänger.
Paranoia Mode ON: Irgendwann entwickelt jemand eine Schadsoftware, die genau auf diese Anwendung zugeschnitten ist
Wer nur im Paranoia-Modus denkt sollte daher ganz auf Backups verzichten, man kann es ihm sowieso nicht Recht machen.
- Mitglied seit
- 13. Jul 2019
- Beiträge
- 5.097
- Punkte für Reaktionen
- 2.065
- Punkte
- 259
Jetzt klammern wir mal den gewerblichen Bereich aus - da werden Ransom-Attacken meist manuell ausgefahren, und das Lösegeld dem geschätzten Schaden angepasst. Bleiben wir im Privatbereich. Da kommt eine Standard-Schadsoftware auf den Rechner (meist per Mail-Anhang oder über einen Link auf eine Webseite), läuft dort automatisiert los und macht dann „Buh ...“.
Was schützt ? Zunächst mal die üblichen Verdächtigen: Updates, sauber aufgesetzte Rechner (möglichst nicht mit Admin-Rechten arbeiten), gesunder Menschenverstand.
Und falls doch? Dann sind die meisten Daten im Privatbereich statisch, das heißt sie verändern sich nach der Anlage nicht mehr, sondern bleiben über Jahre gespeichert. Fotos sind der Klassiker, aber auch die meisten Dokumentendateien. Heißt: Die lassen sich wieder herstellen, selbst wenn das Backup schon etwas älter ist. Hauptsache es gibt eines.
Die meisten jüngeren Dateien sind heute mehrfach vorhanden, z.B. noch auf dem Handy, in einem Cloud-Backup, auf den SD-Karten der Kamera etc. Die meisten Mails liegen (bei IMAP) noch auf dem Mailserver etc.
Selbst wer nur 1x im Monat oder bei geringer Nutzung nur 1x im Quartal rotierend auf 2 USB-Laufwerke Kopien anlegt, dürfte tatsächlich kaum Daten verlieren.
Statt jede Alternative zu verreißen, und Unsicherheit zu streuen, gibt es ein paar ganz einfache Dinge für die private Nutzung:
- Mindestens 2 Backups anfertigen, auf körperlich getrennten Datenträgern. Hausmittel nutzen, d.h. für uns in diesem Forum HyperBackup.
- eines dieser beiden Backups außer Haus lagern, regelmässig gegen den anderen Datenträger austauschen
Wenn das läuft, kann man sich gerne weiter vertiefen, und einiges von dem ausprobieren, was hier sonst noch so diskutiert wird.
P.S. Wer privat 55TB an Daten hat, der wird mir auch nicht erzählen, dass die sich laufend verändern. Also abgesehen davon, dass etwas Ausmisten vermutlich Wunder wirken könnte, lassen sich auch diese Daten in Statisch (Archiv) und Dynamisch unterscheiden. Die statischen sichert man 1x weg, lagert die Datenträger an anderem Ort, und ist für mehrere Jahre damit durch. Für den dynamischen Teil gilt das vorstehende. 1x im Jahr schiebt man den nächsten Block vom dynamischen Teil in den statischen, sichert ihn 1x, lagert aus, und ist safe.
Was schützt ? Zunächst mal die üblichen Verdächtigen: Updates, sauber aufgesetzte Rechner (möglichst nicht mit Admin-Rechten arbeiten), gesunder Menschenverstand.
Und falls doch? Dann sind die meisten Daten im Privatbereich statisch, das heißt sie verändern sich nach der Anlage nicht mehr, sondern bleiben über Jahre gespeichert. Fotos sind der Klassiker, aber auch die meisten Dokumentendateien. Heißt: Die lassen sich wieder herstellen, selbst wenn das Backup schon etwas älter ist. Hauptsache es gibt eines.
Die meisten jüngeren Dateien sind heute mehrfach vorhanden, z.B. noch auf dem Handy, in einem Cloud-Backup, auf den SD-Karten der Kamera etc. Die meisten Mails liegen (bei IMAP) noch auf dem Mailserver etc.
Selbst wer nur 1x im Monat oder bei geringer Nutzung nur 1x im Quartal rotierend auf 2 USB-Laufwerke Kopien anlegt, dürfte tatsächlich kaum Daten verlieren.
Statt jede Alternative zu verreißen, und Unsicherheit zu streuen, gibt es ein paar ganz einfache Dinge für die private Nutzung:
- Mindestens 2 Backups anfertigen, auf körperlich getrennten Datenträgern. Hausmittel nutzen, d.h. für uns in diesem Forum HyperBackup.
- eines dieser beiden Backups außer Haus lagern, regelmässig gegen den anderen Datenträger austauschen
Wenn das läuft, kann man sich gerne weiter vertiefen, und einiges von dem ausprobieren, was hier sonst noch so diskutiert wird.
P.S. Wer privat 55TB an Daten hat, der wird mir auch nicht erzählen, dass die sich laufend verändern. Also abgesehen davon, dass etwas Ausmisten vermutlich Wunder wirken könnte, lassen sich auch diese Daten in Statisch (Archiv) und Dynamisch unterscheiden. Die statischen sichert man 1x weg, lagert die Datenträger an anderem Ort, und ist für mehrere Jahre damit durch. Für den dynamischen Teil gilt das vorstehende. 1x im Jahr schiebt man den nächsten Block vom dynamischen Teil in den statischen, sichert ihn 1x, lagert aus, und ist safe.
Externe Laufwerke lässt man natürlich rotieren, damit die Ransomware eben nicht das einzige vorhandene Backup überschreiben kann. Fies wäre natürlich, wenn die Ransomware im NAS steckt und wochenlang nur Zufallsdaten auf den Datenträger schreibt um dann überraschend zuzuschlagen, wenn wirklich keine Backups mehr da sind bzw hoffnungslos überaltert sind (zB da helfen dann nicht mal mehr M-Discs). ^^
- Mitglied seit
- 09. Nov 2016
- Beiträge
- 4.093
- Punkte für Reaktionen
- 570
- Punkte
- 194
Ich glaube hier begehen einige einen Denkfehler: Hyperback (HBU) schützt NULL, wenn es über einen Wechseldatenträger benutzt wird. In dem Moment wo das externe Medium angeschlossen wird entsteht eine durch Ransomware genutzte Datenverbindung die das Verschlüsseln der Backup-DB ermöglicht. Das war es dann.
Schutz besteht nur durch die Verwendung der speziellen Ports von HBU zwischen Server und Backupserver, sowie Unterbinden aller anderen Ports und Verbindungen.
Der Backup-Server darf kein SMB oder ähnliche Protokolle nutzen, lediglich Port 5001 ist für einen PC zusätzlich offen für die Administration.
Da die Verbindung zwischen den beiden Servern über ein nicht routingfähiges Protokoll erfolgt wird damit erst die Abschirmung gegen Ransomware erreicht, nicht durch ein USB oder eSATA Laufwerk!
Schutz besteht nur durch die Verwendung der speziellen Ports von HBU zwischen Server und Backupserver, sowie Unterbinden aller anderen Ports und Verbindungen.
Der Backup-Server darf kein SMB oder ähnliche Protokolle nutzen, lediglich Port 5001 ist für einen PC zusätzlich offen für die Administration.
Da die Verbindung zwischen den beiden Servern über ein nicht routingfähiges Protokoll erfolgt wird damit erst die Abschirmung gegen Ransomware erreicht, nicht durch ein USB oder eSATA Laufwerk!
Reicht es nicht aus, ein NAS einfach nicht permanent verbunden zu haben? Klar, in der Registry steht sicherlich auch irgendwo eine Liste der zuletzt verbunden Shares, und die könnte sich eine Ransomware zunutze machen. Ich halte das aber für wesentlich unwahrscheinlicher als bei einem permanent gemountetem Share.
@Benares
Die Ransomware scannt permanent das Netz. Wann sie auslöst ist dazu offen. Und irgendwann machst du das NAS ja an um das Backup zu erstellen. Davon abgesehen dürften die meisten ein Synology NAS wegen der Zusatzfunktionen angeschafft haben und wollen es ja gar nicht (die meiste Zeit am Tag) abschalten.
Die Ransomware scannt permanent das Netz. Wann sie auslöst ist dazu offen. Und irgendwann machst du das NAS ja an um das Backup zu erstellen. Davon abgesehen dürften die meisten ein Synology NAS wegen der Zusatzfunktionen angeschafft haben und wollen es ja gar nicht (die meiste Zeit am Tag) abschalten.
Zuletzt bearbeitet:
Das NAS ist ja ständig an, aber nicht permanent mit den PCs verbunden (gemountet). Da man sich Ransomware vorzugsweise auf dem PC einfängt, halte ich das für ausreichend sicher.
Ob als Netzlaufwerk verbunden oder nicht ist irrelevant. Frühere Ransomwares waren da noch nicht so clever, aber das hat sich mittlerweile geändert:
https://blog.knowbe4.com/new-ransomware-cryptofortress-encrypts-unmapped-network-shares
https://blog.knowbe4.com/new-ransomware-cryptofortress-encrypts-unmapped-network-shares
- Status
Kaffeautomat
Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.
Als Dankeschön schalten wir deinen Account werbefrei.
