Ochrona przed ransomware dysk NAS

Hej, codziennie wykonuje kopię zapasową programem Cobian na dysk NAS raz w tygodniu leci pełna i codziennie przyrostowa, główna to około 800GB, przyrost różnie w granicach 150-200GB, wysłkę do NAS robię przez ftp (lokalnie serwer NAS) stoi, do tej pory robiłem archiwizacje i kompresje (.rar) a dopiero potem program wysyłał do NAS’a , od czasu gdy tych danych jest więcej to długo to trwa za nim on skompresuje i druga rzecz zapycha mi dysk i niee może dokończyć kompresji.
Czy jeżeli będe wysyłał na NAS pliki bez kompresji i nie spakowane w archiwum to w przypadku ransomaware, w którymś z plików one przeniosą się na dysk NAS i zarażą pozostałe dane które już wcześniej się tam znajdowały?

Kompresja nie uchroni Cię przed ransomem, ponieważ wirus szyfruje wszystko, łącznie z paczkami RAR. Chyba że będziesz miał wyjątkowe szczęście i trafisz na syf, który szyfruje tylko DOCi i XLS, ale nie liczyłbym na cud. Ransom zaszyfruje Ci wszystko, nawet gdybyś to wrzucił w kontener VeraCrypt.

Kopie najlepiej jest robić w przynajmniej 3 miejscach, zgodnie z zasadą 3-2-1.

  1. Kopia lokalna (zabezpieczenie przed uszkodzeniem danych, szybkie odtworzenie);
  2. Kopia lokalna w innym miejscu (zabezpieczenie przed uszkodzeniem danych oraz uszkodzeniem pierwszego nośnika, np. pożar);
  3. Kopia lokalna na zewnątrz (zabezpieczenie przed uszkodzeniem nośnika, pożarem, ransomware itp.).

W zależności od ważności danych, robisz liczbę kopii i odpowiednią ich rotację. Pilne kilka razy dziennie pełne kopie, mniej ważne raz dzienne, rzadko zmieniające się raz na tydzień/miesiąc itp.

Jeśli nie ma na chwilę obecną możliwości finanoswych, warto:

  1. W NAS włączyć kopie migawkowe wolumenów, jeśli ma taką opcję;
  2. Włączyć na serwerze kopie migawkowe. Pod Linux masz kilka możliwości (kopia systemu plików tar, snapshot LVM/BTRFS/ZFS), w Windows możesz włączyć Shadow Volume Copy.
  3. Kopie z NASa warto robić na dysk zewnętrzny i chować go np. do sejfu ognioodpornego.

"Kompresja nie uchroni Cię przed ransomem, ponieważ wirus szyfruje wszystko, łącznie z paczkami RAR. "
Oki ale powiedzmy dzisiaj wrzuciłem kopie zapasowa (.rar) na NAS , jutro rzucam kopie zapasowa na nas też (.rar) ale już zawirusowaną. Czy ona zarazi mi kopie z dzisiaj? czy ten plik bedzię w archiwum i się nie wydostanie. A gdybym go wrzucił w zwykłym folderze przeniósłby się na NAS ?

  1. Kopia lokalna - czyli dysk NAS
  2. Kopia lokalna - czyli np HDD (tu jest problem bo nie mam możliwości być na miejscu i codziennie wpinać i wypinać dysk hdd)
  3. Kopia lokalna na zewnątrz - czyli np. wysyłka na jakiś hosting (ftp)

i przy podpięciu np HDD to jaką mam pewność że ten syf juz nie jest na kompie i się nie przeniesie na HDD ? ile się “wykluwa” to świństwo gdy jest zauważalne…

mam nasa Synology i QNAP w synku nie widziałem funkcji migawek, w qnapie jest czy migawki powinienem też przechowywać gdzieś zewnętrznie?

Czytam i nie wierzę. Ręce opadają.
To niczym się nie różni od tekstu na jakimś portalu medycznym gdzie lekarz pyta " na raka aspiryna czy paracetamol"
A drugi odpowiada ze aspiryna nie ochroni więc pompki rób.

@krystian3w “wódka powinna być w czopkach, żeby do toastu wszyscy wstawali”, jak to pewien kabaret kiedyś powiedział :wink:

@anon93248178 “Czytam i nie wierzę. Ręce opadają.” Nie tylko Tobie!

@fanatyk_92 Nie będę Ci przepisywał najprostszych definicji, więc: https://pl.wikipedia.org/wiki/Wirus_komputerowy i https://pl.wikipedia.org/wiki/Ransomware
Dlatego właśnie powstała nazwa “wirus komputerowy”, który działa tak samo złośliwie, jak prawdziwy wirus na organizmach żywych. Przecież “wirus komputerowy” jest takim samym programem, jak każdy inny (prawie), tylko jego działanie jest “złośliwe”. Więc jak jest epidemia, to ja zachoruję, a Ty już nie, bo mieszkasz w innym mieście. Takie jest właśnie Twoje podejście/myślenie.

Ja mam dysk zewnętrzny na który robię kopie zapasowe, po uprzednim przeskanowaniu komputera na okoliczność różnych zagrożeń. Po upewnieniu się, że nic niema, choć nigdy niema stu procentowej pewności, podłączam dysk kopii zapasowych (tak go nazwijmy), wykonuję kopię zapasową i odłączam dysk.

Więc w Twoim przypadku na NAS-ie powinien być wydzielony specjalny/osobny zasób, który montujesz tylko przed wykonaniem kopii zapasowej, po uprzednim przeskanowaniu komputera na okoliczność wirusów, i od razu po wykonaniu tejże odłączasz zasób. Oraz, zasób kopii zapasowych nie powinien być widoczny/dostępny z innych udostępnionych zasobów na NAS-ie. Jak również dostęp do kopii zapasowych na NAS-ie nie może być zapisany nigdzie na komputerach, jak również w systemie.
Po zastosowaniu tej prostej metody, automatycznie Twoje bezpieczeństwo danych wzrasta o 100%.

Moim zdaniem dla zmniejszenia ryzyka lepiej, żeby NAS montował sobie katalog z komputera i pobierał dane do siebie, niż montować zasoby z NAS na komputerze i tam coś wypychać.
W ten sposób nawet działający wirus na komputerze nic nie zaszyfruje na dysku sieciowym, bo nie będzie miał do niego dostępu, a jeśli NAS go pobierze to i tak się w tamtym środowisku nie aktywuje.

Solucja 3-2-1 nie raz zawiodła ale to zestawienie dla większych firm
Teraz stosuje sie 3-2-2

No dobrze, już całą swoją złość i frustrację niektórzy użytkownicy na mnie wylali, ale nikt nie potrafi (lub nie chce odpowiedzieć mi na pytanie)
Robię kopie zapasową do NAS ale nie podmontowuje folderów tylko robie to przez FTP , dzięki czemu tylko przy wysyłce nawiązuje się sesja wysyłka pliki i odcina się (wydaje mi się że jest to bezpieczniejsze rozwiązanie) ?
i teraz zrobiłem kopie

  • Poniedziałek - kopia wysłana na NAS
  • Wtorek - kopia wysłana na NAS
  • Sroda - kopia wysłana na NAS
  • Czwartek - kopia wysłana na NAS ale już z zawirusowanymi plikami na pokładzie,
    CZY TA KOPIA Z CZWARTKU JEST MI W STANIE NA NAS zawirusować kopie z poprzednich dni które są na NASie czy nie? i czy jest różnica bezpieczeństwa dla tych kopii z poprzednich dni jeśli ta zawirusowana będzie w zwykłym folderze wrzucona na NAS czy będzie zapakowana w archiwum.

Jeżeli to ten sam NAS, szansa jest zawsze.

Bezpieczeństwo być miał gdybyś w dni nieparzyste wkładał dysk 1 na kopie a w dni parzyste nr 2.
W oczywiście w danym dniu w NAS jest tylko 1 dysk i zakładając “okres inkubacji” (uśpienia) 1 dzień a może np. tydzień czekać.

Ransomware działa tak, przynajmniej takie typowe:

  1. Sprawdź czy do komputera podłączony jest udział sieciowy lub zmapowany dysk sieciowy.
  2. Sprawdź czy istnieją uprawnienia do zapisu na dysku sieciowym.
  3. Sprawdź czy na dysku znajdują się pliki.
  4. Nadpisz wszystkie pliki do których istnieją uprawnienia.

Jeżeli ransomware może działać na NASie, to tak, jeżeli nie, to nie.
Większość ransomware jest tylko na Windows.

Ransomware uderza w stacje robocze z uprawnieniami do zapisu na udziale/dysku sieciowym, nie w same serwery NAS (które często mają nietypowe, skrojone pod konkretne urządzenie systemy).

Jednym słowem wysyłając przez FTP backup na dysk NAS jestem bezpieczny, i nawet jeśli w tym pliku który wyślę będzie już zawirusowane coś to te pliki nie przedostaną się do systemu na NASie, drugi backup leci na hosting który stoi na linuxie, czyli jestem chyba też dobrze. :slight_smile:
Czy jest różnica i bezpieczeństwo jak do lokalnego nas pakuje to w archiwum czy nie ma to większego znaczenia i mogę pchać folder otwarty.

Dlatego pisałem, że przynajmniej w 3 miejscach. Jeśli istanieje taka możliwość, to lepiej mieć kopie 3-2-2.

Okej wrzucisz RAR, ale gdy np. ransom banks pojedzie Ci po NASie, to już nie będziesz miał RAR tylko KopiaZapasowa.rar.Banks[nm adres@email.ransom]

RAR kopii lokalnej na NASa będzie zawierał pliki zaszyfrowane.

Z NAS na HDD nie powinno Ci nic przejść, bo i Synek i Qpa działa pod Linuksem. Jednak to wszystko zależy od ransomu. Miałem zaszyfrowane pliki różnych syfów i pod Windows i pod Linux i nic się nie wydarzyło. Dopóki ich nie wykonasz, nic się nie wydarzy.

Migawki w Synology są w NASach za 20k PLN.

Jest też ransom, który wykorzystuje podatności smb1 i smb2, więc nie zawsze użytkownik musi mieć uprawnienia do zasobów.

Czyli kiedy nas pobiera backup to jest bezpieczniej i nie ma co komplikować sprawy :stuck_out_tongue_winking_eye:

Zgodnie z maksymą im mniej usług, tym mniej dziur, to tak. O ransomie, który wykorzystuje luki FTP lub SFTP też nie słyszałem.

SMB jest o tyle badziewne, że nawet wersja linuksowa jest lepsza, niż to co stworzył Microsoft.

SMB to sie wyłącza na dzień dobry razem z IE11 i tymi medialnymi badziewnymi apkami bo nic to nie wnosi a tylko szkodzi…

Życzę powodzenia przy folder redirection o ile w ogóle wiesz co to jest.

Czyli kopie migawkowe proponujesz robić na zewnetrznym dysku podłączonym do NAS"a czy może być na tym samym dysku tylko w innym folderze np “tylko do odczytu” ?

1/ ten NAS jest w sieci lokalnej a FTP tylko używasz z racji tego, że Ci tak wygodniej z Cobianem?
2/ Masz jakiś osobny dysk/partycję w komputerze z tymi danymi wymaganymi do backupu?

Najbezpieczniej mimo wszystko będzie Ci w jakiś program do migawek np. coś z Acronisa (https://www.acronis.com/en-eu/personal/computer-backup/). Wystaw na NASie udział nawet po SMB, ale z osobnym hasłem i loginem (np. backup / backup ). Tego użytkownika ma znać tylko program do backupu (Acronis) a nie sam Windows. No i wypadało by czasem te backupy jeszcze kopiować na jakiś dysk USB, czy w chmurę.
Tyle w temacie.