Sicherungs-Strategie hinterfragen

[ebusynsyn]

Bin richtig erschrocken, als ich in einem anderen Eintrag gelesen habe, was hier abgegangen ist. Stichwort: Verschlüsselungstrojaner. Erlaube mir daher meine 'Installation' fragend zu prüfen.

Ich sichere mein Hauptgerät DS620slim täglich auf eine DS918. Daran eine USB-SSD für die Sicherung der wichtigsten Daten (PDF-Archiv). Diese wichtigsten Daten sichere ich zusätzlich täglich in die Synology-Cloud C2. Fotos landen zeitgleich in der iCloud und auf der 620slim.

Die DS918+ schaltet sich automatisch ein und wieder aus. Dient also primär nur zur Sicherung. Ab und zu teste ich auch gewisse Sachen darauf.

Die 620Slim und einige Installationen darauf sind von aussen zugänglich (QuickConnect und DynDNS von NoIP)

Ich habe keine Windows-Geräte - nur MacBookPro und iPad.

Fragen:
- Sind die Daten der DS918+ vor so einem Verschlüsselungstrojaner geschützt? Natürlich vorausgesetzt, dass ich eine allfällige Verschlüsselung vor der automatischen Einschaltung bemerke. Nehme ich an.

- Wäre es klüger, die DS918+ von Hand einzuschalten bzw. sogar vom Netz zu nehmen.

 

[Synchrotron]

Wenn du den Ausgangsthread liest, siehst du, dass der wichtigste Befallsweg nach wie vor Windows-Rechner mit einer Office-Installation sind. Grund dafür ist die liederliche Absicherung von Office gegen die Ausführung von Makros. Außerdem ist das die breiteste installierte Plattform, und - besonders interessant - die in den meisten Unternehmen. Nimm Powershell (über die die Folgeinfektion abläuft) und AktiveDirectory (über die einheitliche, netzweite Passwörter verwaltet werden), und du hast das perfekte Ziel-Setup. Es reicht eine geöffnete und geklickte Phishing-Mail, sowie eine nicht ganz sattelfeste Reaktion eines Admin, und das Verhängnis nimmt seinen Lauf.

Private Nutzer sind da nur Beifang, werden aber auch gerne mitgenommen. Während in Firmen / Organisationen die Angriffe zunehmend von Hand nachgesteuert werden, laufen sie in kleinen Privatnetzen i.w. automatisiert ab. Es werden inzwischen gezielt zuerst die Backups, dann die Server und erst zuletzt die User-PCs verschlüsselt. Ausgangspunkt ist im Regelfall ein infizierter Windows-PC.

Mac und Linuxe sind nicht per se geschützt (es gab erste Fälle auch dort), aber da es Exoten im Meer der MS-Rechner sind, werden sie bisher nicht gezielt angegriffen. Schadprogramme werden aber auch auf Linux-Servern ausgeführt, das sind dann Folgeinfektionen. Das Szenario kann sich jederzeit ändern !

Das beste Gegenmittel - wenn es zu einer Infektion gekommen ist - ist ein aktuelles und nicht betroffenes Backup. Damit der Backuprechner nicht selbst verschlüsselt wird, sollte der Backupserver sich selbst auf dem zu sichernden Server einwählen, das Backup von dort ziehen und die Verbindung dann wieder kappen. Sobald es umgekehrt geht (der zu sichernde Rechner wählt sich auf dem Backuprechner ein und „schiebt“ das Backup rüber), liegen Zugangsdaten auf dem betroffenen Server, und es kann zur Verschlüsselung des Backuprechners kommen.

Alternativ (setzt viel Disziplin voraus) können USB-Backups gezogen und „rotiert“ werden. Oder es wird ein Cloud-Backup aufgesetzt. Das kann zwar kompromittierte Dateien aufnehmen, aber Stand heute nicht selbst auf dem Cloudserver verschlüsselt werden, weil man die Dateien dazu herunter laden müsste. Zusammen mit der Versionierung in der Cloud sollte das zur Wiederherstellung reichen.

 

[ebusynsyn]

Das beste Gegenmittel - wenn es zu einer Infektion gekommen ist - ist ein aktuelles und nicht betroffenes Backup. Damit der Backuprechner nicht selbst verschlüsselt wird, sollte der Backupserver sich selbst auf dem zu sichernden Server einwählen, das Backup von dort ziehen und die Verbindung dann wieder kappen.

Vielen Dank für die auch für einen Laien verständlichen Ausführungen.

Am "besten Gegenmittel" werde ich mal arbeiten. Aktuell läuft es ja gerade umgekehrt. Heisst, die 918+ schaltet sich ein und warte, bis die 620slim liefert. Das umzukehren wäre das Ziel.

Cloud Backups scheinen mir einen guten Schutz zu bieten. Da ich dort lediglich etwa 20% von einem Terra nutze, könnte ich noch weitere Daten dort sichern.

Danke und Gruss

 

[Synchrotron]

Einfach mal anschauen: Synology Actice Backup for Business.

 

[ebusynsyn]

Danke für den Tipp!

Angeschaut und eingerichtet. Zur Zeit läuft eine Komplettsicherung meines Haupt-NAS auf die DS918+

Wenn ich das alles richtig verstanden habe, kann ich nun die vom Netz getrennte 918+ via StromSteckdose ans Netz hängen, dann fährt sie nach 5 Minuten automatisch hoch, zieht die Sicherung vom Haupt-NAS, fährt wieder herunter und die StromSteckdose kappt das Netz.

Zusammen mit der Cloud-Sicherung der wichtigsten Daten fühle ich mich gut gewappnet.

Jetzt kann ich nur hoffen, dass ich eine allfällige von Aussen verursachte Verschlüsselung meiner Daten frühzeitig mitbekomme, bevor die 918+ hochfährt und sich auch infiziert.

 

[servilianus]

Dass sich der Backup-Server auf dem Ziel einwählt und dann die Sicherung übernimmt, klingt einleuchtend. Aber: Kann das Hyperbackup überhaupt? Hyperbackup arbeitet doch gerade umgekehrt: Installation auf der Syno mit den zu sichernden Daten, dann schiebt Hyperbackup die Daten auf die andere NAS.
Oder kann Hyperbackup auch „ziehen“?

 

[AndiHeitzer]

Oder kann Hyperbackup auch „ziehen“?

Posting #4 beachtet?

 

[ebusynsyn]

@servilianus

Ich habe nicht Hyper Backup genommen, sondern Active Backup for Business (Tipp von @Synchrotron). Installiert auf meinem Backup-NAS und so eingerichtet, dass es zeitgesteuert ein Backup vom Haupt-NAS zieht. Diese App kann aber noch viel mehr.

Soweit ich das feststellen konnte, kann Hype Backup nicht ziehen.

 

[servilianus]

Genau deswegen fragte ich ja. Ich sichere nämlich bislang mit Hyperbackup. Ist ja auch bequem und einfach. Aber im Hinblick auf Verschlüsselungstrojaner nun offenbar gerade nicht sinnvoll, wie @synchroton im seiner Beschreibung dankenswerterweise hinweist.

 

[ebusynsyn]

@servilianus

Ja, Du hast recht. Hyper Backup ist sehr bequem. Auch ich habe diese App immer eingesetzt. Werde noch eine Zeitlang beide nutzen, bis ich von der neuen App mal ein Restore gemacht habe und es auch so läuft, wie ich es mir vorstelle.

Active Backup for Business konnte ich - Laie mit einiger Synology-Erfahrung - relativ zügig einrichten. Ich habe mich einfach mal herangewagt und es hat sofort geklappt.

Um die Einrichtung vorzunehmen benötigt man einen Synology-Account um die App zu aktivieren. Da ich sowieso so ein Konto habe, war das keine Hürde. Dass irgendwo Kosten entstehen konnte ich nicht feststellen. Gehe davon aus, dass das so bleibt.

Die Schritte nach der Aktivierung sind einfach, da die App auf allfällige Fehler bei der Einrichtung hinweist. Viel mehr kann ich dazu nicht sagen.

Die Sicherung läuft noch und vermutlich noch einige Zeit.

 

[Synchrotron]

Wenn ich die Produktseite von Synology richtig verstehe, läuft ActiveBackup for Business nur auf DSen, die ein BTRFS-Dateisystem haben. Die für Backups beliebten „J“ wären damit draußen, ebenso viele Plays.

Vielleicht hat jemand damit Erfahrung ?

 

[Perry2000]

BTRFS ist Pflicht.

 

[servilianus]

So ist es, leider. Mein Backup-Datengrab ist die 216j - da klappt Active Backup nicht bzw. wird gar nicht erst angezeigt. Aber: Ich habe das Community-Paket Ultimate Backup eingerichtet. Da klappt das Ziehen der Daten vom Hauptserver einwandfrei.

 

[ebusynsyn]

Ich habe nun mehrere Backups - auch zeitgesteuerte - mit 'Active Backup for Business' durchgeführt und Daten auch wieder hergestellt. Das hat soweit recht gut geklappt.

Mein BackupNAS ist eine DS918+
Mein HauptNAS ist eine DS620slim (sieht besser aus und braucht viel weniger Platz, kann somit gut auf dem Tisch sichtbar platziert werden)

Folgende Probleme sind aufgetaucht:

Jedes Mal kam der orangefarbene Warnhinweis: "ACL wird nicht unterstützt" Die Sicherung wird aber als erfolgreich markiert. Restore hat auch geklappt. Hierzu (ACL-Hinweis) muss ich mich wohl noch etwas informieren.

Der Datenordner der Anwendung 'ecoDMS' produzierte immer (Spiegeln, Versionierung, Inkrementel) eine Fehlermeldung (Unvollständig). Die Sicherung läuft zwar durch, aber ohne die betreffenden Daten zu sichern. Hier werde ich den Umweg via 'ecoDMS BackupFile' gehen. Der Backup-Ordner von ecoDMS wird nämlich fehlerfrei gesichert. Vielleicht finde ich auch noch eine andere Lösung.

Unter dem Strich läuft es gut. Der Tipp von @Synchrotron war wirklich gut.

Falls jemand zum ACL-Hinweis was sagen kann, danke ich. Ich werde mich diesbezüglich aber noch schlau machen und hier allenfalls noch Infos einbringen.

 

[AndiHeitzer]

ACL = Access-Control-List
Kurz gesagt, es handelt sich um die Rechtevergabe.

 

[ebusynsyn]

Danke Dir.

Jetzt muss ich noch herausfinden, wie ich vorgehen muss, dass der Hinweis nicht mehr auftritt. Oder ob ich diesen allenfalls einfach so stehen lassen kann.

 

[AndiHeitzer]

Ich hoffe, ich lehne mich nicht zu weit aus dem Fenster ...
Beim Restore sollte der dazugehörige User in der Lage sein, Berechtigungen im Filesystem zu setzen. Gilt unter WIN für Filesysteme mit NTFS und nachfolgend.
Die Filesysteme exFAT, FAT32 oder Vorläufer haben kein Berechtigungssystem, dann wirst Du die Fehlermeldung nicht los.

 

[servilianus]

Möchte nochmal kurz auf das Thema hier zurückkommen, weil mir etwas doch noch nicht ganz klar ist. Und zwar, was den Unterschied zwischen ziehen und schieben hinsichtlich der Sicherung anbelangt. Beim Passwort zum einloggen ist mir das klar, dass ein evtl. befallener Rechner beim schieben das PW des Sicherungsservers kennt, was zu vermeiden ist. (Im Grunde genommen ist Hyperbackup also in dieser Hinsicht ungeeignet). Aber wenn man auf ziehen umstellt - hat man dann nicht eigentlich auch mit Zitronen gehandelt? Weil ja die verseuchten Daten des Quellservers auch durch ziehen auf dem Backupserver landen, und sich dann dort ausbreiten und alles verschlüsseln könnten? (ausser, man bekommt eine Verseuchung des Quellservers mit und stoppt noch schnell das ziehen - wohl unwahrscheinlich, wenn man mehrere Sicherungsjobs am Tag betreibt).

Die Frage für mich also bleibt: Gibt es eine Sicherungsstrategie, mit der man das Risiko einer Verseuchung des Backupservers aufgrund evtl. befallener Backup-Daten möglichst minimieren kann?

Weiterhin: Wenn man die Backups versioniert (hoffend, dass man dann eine unbefallene Version findet) - wieviele Versionen wären sinnvoll? Z.B. 7, also eine pro Tag? Mein bisheriges Hyper-Backup hat schon 650 GB, je mehr Versionen = die Festplatte läuft voll.

Schliesslich: Es gibt ja auch die Möglichkeit von Snapshots auf eine entfernte DS. Ist zwar auch schiebend. Aber: würden Snapshots eine grössere Sicherheit bieten als eine rsync-Sicherung (was Hyperbackup z.B. ja ist.) Die Schnelligkeit einer Snapshot-Sicherung und Wiederherstellung einmal beiseitegelassen.

 

[ebusynsyn]

Aber wenn man auf ziehen umstellt - hat man dann nicht eigentlich auch mit Zitronen gehandelt? Weil ja die verseuchten Daten des Quellservers auch durch ziehen auf dem Backupserver landen, und sich dann dort ausbreiten und alles verschlüsseln könnten? (ausser, man bekommt eine Verseuchung des Quellservers mit und stoppt noch schnell das ziehen - wohl unwahrscheinlich, wenn man mehrere Sicherungsjobs am Tag betreibt).

Diese Frage habe ich mir in der Tat auch gestellt. Vgl. mein Eintrag #5.

Zu den Snapshots kann ich nichts sagen. Da übersteigt meine IT-Möglichkeiten.

Aber: Überlegt habe ich mir, meine im Schrank vor sich hin verstaubende DS415+ in Betrieb zu nehmen, und alle 14 Tage ein Backup vom Haupt-NAS zu machen - aber im Voraus zu prüfen ob noch alles so ist wie es sein soll. (Von Hand anstossen und DS zwischenzeitlich vom Netz nehmen) Das geht für ein Unternehmen natürlich nicht. Aber als 2-Personen-Privathaushalt fallen in 14 Tagen höchstens 20 bis 30 wirklich wichtige Dokumente an, die - notabene - täglich in die Synology-Cloud gesichert werden. Dort sind sie ja sicher vor einer ungewollten Verschlüsselung von aussen. Fotos, die in grösserer Menge entstehen, sind sowohl in der iCloud wie auch auf dem NAS.

 

[Synchrotron]

Ein Backup ist eine inaktive Version der Daten. Selbst wenn da eine ausführbare Datei drin liegt, wie sollte sie ausgeführt werden ? Ich habe eine Mailarchivdatei von vor 10 Jahren. In einer E-Mail liegt dort noch ein Trojaner. Wenn ich einen Virenscanner drüber laufen lasse, werde ich gewarnt. Ist trotzdem im Backup ungefährlich.

Nach einem Restore kann sich das ändern (nicht beim Mailarchiv, aber bei einem aktiven Trojaner). Daher ist es wichtig, durch Rotation oder Versionierung so weit zurück gehen zu können, dass man vor den Infektionszeitpunkt kommt.

Wenn es vom Platz her knapp wird, gibt es mehrere Möglichkeiten: Dateien vom Backup ausschließen (was will ich wirklich behalten, wenn es hart auf hart kommt), Ablage aufräumen (wie zuvor, nur schon heute löschen) oder Backupmedium erweitern.

Eine leistungsfähige Duplikatesuche kann helfen. Wegen der höheren Leistung und der Parametrierbarkeit (wichtig gerade bei Bildern) ziehe ich die zu untersuchenden Daten auf eine SSD, die direkt am Mac hängt.