Fórum Root.cz
Hlavní témata => Windows a jiné systémy => Téma založeno: greenlinuxguru 22. 06. 2024, 11:19:31
-
Čím dál víc o tom slyším, hackeři ve Windows zašifrují disk a vyžadují výkupné. Přeci jenom mám odpojené USB zálohy, nepouštím vše, používám Windows Defender, ale i tak by mě zajímalo, jaká je nejlepší prevence proti tomuto.
-
Muzes nastavit svazek jako readonly :D
A prevence je nepripojovat ten disk k pocitaci, nebo pocitac k internetu ani cizim mediim.. co chces jako slyset?
-
Zálohovat, zálohovat, zálohovat. Ideálně v režimu 3-2-1
-
V první řadě tomu předcházet, takže používat aktualizovaný software a nespouštět kdejaký nesmysl stažený z internetu.
Zálohovat, zálohovat, zálohovat. Ideálně v režimu 3-2-1
U zálohování je možné navíc sledovat, kolik se toho v zálohách mění a co se mění. Aby člověk neskončil s pečlivě zazálohovanými soubory zašifrovanými ransomware.
-
nebo zalohovat spustenim live linuxu a zkopirovanim zalohy. kdyz pojedes v linuxu nemuzou jet zle windows programy.
-
Co to rovnou odpojit od elektrické sítě, protože i live distribuce může být infikována. Jistota je jistota!
Dotaz byl položen tak, jak byl položen – hodně laicky. To je můj dojem a jakýkoliv Linux (distribuce) bude děravá jako cedník, protože v rukou laického správce přichází nebezpečný předpoklad. Paradoxně i výchozí sestavení a konfigurace Windows bude podstatně bezpečnější, než Linux pod správou laika. Falešný pocit bezpečí totiž funguje bez ohledu na systém. Připomíná mi to koleje a také uřvané blbunťáky z Abíčka, kteří to pomocí cihlou založený enter nějak nainstalovali a potom chodili vyřvávat o bezpečnosti. Přitom stačilo „tenhlebalikmusismit.deb“ a otevírali svoje systémy dokořán, hezky pěkně s úklonem a pozvánkou pro každého.
Ono mu bude prd platné, že mu síťové disk (úložiště) poběží pod Linux, když si ty data zašifruje z jiného zařízení, nebo si díky „zaručenému“ návodu (tupé kopírování do shellu pod rootem) něco pěkného dotáhne.
-
nebo zalohovat spustenim live linuxu a zkopirovanim zalohy. kdyz pojedes v linuxu nemuzou jet zle windows programy.
Jak vám to pomůže v tom, že máte na disku zašifrovaný soubor, který zkopírujete i do zálohy?
-
tohle se mi libi, takova agnosticka detekce.
jsem myslel, ze ten dotaz je o necem takovem. vsechno ostatni jsou triviality.
nevim, jak pomuhou 3 mesice stare zalohy, co obsahuji jeste nezasifrovane soubory, kdyz to ztrati 3 mesice prace.
U zálohování je možné navíc sledovat, kolik se toho v zálohách mění a co se mění. Aby člověk neskončil s pečlivě zazálohovanými soubory zašifrovanými ransomware.
-
Asi dobrý, potom co jsem tu nenašel odpověď jsem začal víc googlit a našel odpověď - https://support.microsoft.com/en-us/windows/protect-your-pc-from-ransomware-08ed68a7-939f-726c-7e84-a72ba92c01c3 , Microsoft přímo popisuje způsoby ochrany, včetně zabudovaných mechanismů ve Windows, OneDrive a Office 365.
-
nebo zalohovat spustenim live linuxu a zkopirovanim zalohy. kdyz pojedes v linuxu nemuzou jet zle windows programy.
Jak vám to pomůže v tom, že máte na disku zašifrovaný soubor, který zkopírujete i do zálohy?
smysl je v tom, ze udela zalohu hnedle medle dokud ma vsecko v poradku. takze hned.
-
smysl je v tom, ze udela zalohu hnedle medle dokud ma vsecko v poradku. takze hned.
Jenže takhle to nefunguje. Lidé počítače používají, vytvářejí nové soubory, upravují ty starší – a tyhle úpravy je potřeba také zálohovat.
-
smysl je v tom, ze udela zalohu hnedle medle dokud ma vsecko v poradku. takze hned.
Jenže takhle to nefunguje. Lidé počítače používají, vytvářejí nové soubory, upravují ty starší – a tyhle úpravy je potřeba také zálohovat.
takhle to funguje zalohujes (postupne a periodicky) to co je v poradku. az se neco stane, tak te zaloha zachrani.
-
No já bych šel spíš cestou třeba Synology.
https://www.synology.com/en-global/dsm/solution/ransomware
Kolik máš pracovní SSDčko? Normálně 2TB? Pak ti stačí 2*4TB disk nebo 2*8TB disk.
I naprostí tupíří programátoři berou devadesát tisíc měsíčně a pořídit si Synology včetně slušné kapacity je banalita. Hlavně budeš mít klid, protože můžeš mít mrtě záloh. Připojíš to doma do sítě, zálohy se ti stáhnou, nestaráš se o nic.
-
takhle to funguje zalohujes (postupne a periodicky) to co je v poradku. az se neco stane, tak te zaloha zachrani.
To byste ovšem nejprve musel vědět, zda to, co zálohujete, je v pořádku. A k tomu vám spuštění zálohování z jiného stroje nijak nepomůže.
-
takhle to funguje zalohujes (postupne a periodicky) to co je v poradku. az se neco stane, tak te zaloha zachrani.
To byste ovšem nejprve musel vědět, zda to, co zálohujete, je v pořádku. A k tomu vám spuštění zálohování z jiného stroje nijak nepomůže.
sice se tu dohadujem jak decka, ale coz 😁
cim drive tim je mensi sance, ze to zasifrovane je, nebo se to zacina sifrovat, proto doporucuji zacit zalohovat hned.
-
cim drive tim je mensi sance, ze to zasifrovane je, nebo se to zacina sifrovat, proto doporucuji zacit zalohovat hned.
O tom se ale nebavíme. To, že si naplánujete, že začnete zálohovat za pět let, vám teď data opravdu nezachrání.
Asi nechápete princip zálohování. Princip zálohování spočívá v tom, že se zálohuje pravidelně, třeba jednou denně. Takže dnes zazálohuju data, zítra zazálohuju data, abych měl zálohu i toho, co změním a vytvořím zítra. Pozítří zase zazálohuju data, abych měl zálohu toho, co vytvořím zítra a pozítří. No a zálohy se obvykle neuchovávají nekonečně dlouho, ale starší zálohy se odmazávají. Takže budete mít zálohu třeba za posledních 7 dnů, pak z doby před 14 dny, před měsícem, před půl rokem a před rokem.
No a problém je, když se vám do záloh dostanou ransomware zašifrované soubory. Takže třeba máte ty zálohy až měsíc zpět, ale tam jsou soubory zašifrované, a pak máte zálohu před napadením ransomware, ale ta je půl roku stará. (A nebo pokud někdo dělá zálohy tak, že jen soubory někam nakopíruje a přepíše předchozí zálohu, nemá žádné starší zálohy.)
V tomhle vám spuštění zálohování z jiného systému nijak nepomůže, protože ten jiný systém prostě vezme ty zašifrované soubory a zapíše je do zálohy. V tomhle pomáhá jenom zjistit napadení ransomware co nejdříve, dokud ještě nejsou zálohy s nezašifrovanými daty moc staré (nebo úplně přepsané).
Navíc u zálohování je důležité, aby se dělalo pravidelně, tedy automaticky, tedy někde na pozadí používaného systému. Pokud musíte ručně rebootovat do jiného systému, asi ty zálohy nebudete dělat moc pravidelně.
-
odpojovat usb disk je skoro k ničemu, protože si na něj ten malware počká až ho připojíš, readonly je také občas k ničemu, prostě si ho může připojit jako rw nebo zapisovat přímo na dev, když má vysoká práva.
Cokoliv je připojeno přímo na kompromitovanou stanici nedokážeš nijak rozumně zabezpečit. Ve firemní prostředí používáme vzdáleně připojený storage (FC, webdav, iscsi atd.) nad append only (či cow) filesystemem ať už to je netapp, zfs nebo pásky a vždy počítáme s tím, že data na stanici/serveru se mohou kdykoliv kompletně ztratit.
Každou takovou zálohu/repliku je nutné kontrolovat, jestli obsahuje to co má, už se objevily malwary, které cíleně šifrovaly nahrávaná data na vzdálený disk, ale nechávaly ty lokální (pak stačí rm -rf a už nic neobnovíš a detektory to nemusí stihnout zjistit, že je něco špatně).
V domácím prostředí může dávat smysl mít něco jako Synology a tam dávat primárně všechna data, škoda, že domácí synology jsou tak děravé a všichni mají admin přístup ze stanice, kterou zároveň zálohují, to pak je na dvě věci.
-
V domácím prostředí může dávat smysl mít něco jako Synology a tam dávat primárně všechna data, škoda, že domácí synology jsou tak děravé a všichni mají admin přístup ze stanice, kterou zároveň zálohují, to pak je na dvě věci.
To je přeci na tom, jak si to nastavíš voe ???
Evidentně jsi backupagenta Synology nikdy nepoužil, protože bys znal systém oprávnění, který se tam nastavuje a že se k datům bez přihlášení k Synology nedostaneš. Nebo dostaneš, protože to chceš, ale jen pro R/O, protože si to tak nastavíš.
-
BACKUP 3-2-1
-
I naprostí tupíří programátoři berou devadesát tisíc měsíčně a pořídit si Synology včetně slušné kapacity je banalita.
Tak to samo o sobě není úplně argument. Podstatná není jen výše příjmů ale taky výše výdajů. Kdybych měl kupovat všechno, co je "banalita" jen proto, že mám vysoký příjem, moc by mi z něj nezůstalo, že jo... Ale jinak je to samozřejmě lepší než rezavým drátem do oka, to bezpochyby.
-
asi jsem moc paranoidní, ale stejně bych se bál zase nějaké díry v systému, za mě je důležité pojištění archivací - offline nebo fyzicky R/O. Takže ano, nepoužívám účet admin, mám nastavená práva pro různé účty, nevystavuji NAS do Internetu - ale stejně archivuji na kupu HDD co pak strkám do skříně (co s nima jinýho, přece je nevyhodím :-))
-
pojištění archivací - offline
Pokud máš tak velký strach, můžeš se bát i vytopení, povodně, zásahu meteoritu, požáru, že ti děcka odnesou zálohy do bazaru ať mají na špek, že tě vykradou, že tvoje data budou zajímat CIA...
Né, jako jednoduše. Když tě sžírají takové hrozné obavy, vezmi svoje starší pecko, ať se ti jednou za týden samo zapne, provede RSYNC vůči Synology a zase se vypne. Ale ano, offline zálohy mají obecně svoje nezastupitelné místo.
-
Edit: Na ten RSYNC jednou týdně ti stačí i nějaký ARM-jako-RPI s diskem připojeným přes USB.
Zapínat to můžeš třeba časovací zásuvkou, vypne se to samo po dokončení RSYNCU.
Čas zapnutí ---> Tady se to vypne samo, protože se Rsync dokončí ---> Tady by to skončilo při plném RSYNCU ---> Tady to vypne zásuvka sama ---> Tady to 5 dnů je vypnuté ---> Od začátku
Klidně můžeš točit dva disky, ať máš dvě zálohy ze sudého a lichého týdne.
-
Co bezny clovek zalohuje v domacom prostredi ?
Napr. ja nie som ani fotograf, ani youtuber, alebo podobny blazon, takze fotky a videa nemam. To by bol asi najgigantickejsi obsah na zalohovanie. Toto si bezny ludia zalohuju, zaplnia tym obrovske GIGA (pre mna) zbytocnymi datami a mozno sa na to nikdy nepozru.
Dalsia vec na zalohovanie by bolo keby som bol spisovatel. Mal by som rozpisane nejake knihy a ak by mi nesiel otvorit subor v libre office, tak to by som sa asi nas**l. Ovsem odt/doc subory nie su prilis velke, takze zaloha je v pohode aj na xy roznych miestach.
Ak si projektant, mozes mat nejake dwg, dxf a pod. Ak by si o to prisiel, tiez by ta to nepotesilo (avsak tiez sa jedna o male objemy dat)
Napis nam prosim co konkretne chces zalohovat!
Ak si vezmem seba, tak ja vlastne ani nemam co zalohovat :P
Som IT nadsenec a mam maly LAB. Na jednom HW toho prevadzkujem pomerne dost a mam k tomu hodne poznamok. Najviac by ma nas**lo, keby som o tie poznamky prisiel. Tie poznamky mam sice v dokuwiki, ale web je vystaveny do internetu, avsak pre verejnost je uzamknuty. Uvazoval som to nechat len na lokale, ale uz to mam tak roky.
Samozrejme vsetky kontejnery, KVM, weby atd. mam zalohovane. V pripade vypadku HW (nebodaj oboch diskov (zfs mirror)), to viem docela rychlo nahodit.
Zalohovanie nejakych dat na tretie strany sa mi moc nepozdava. Nikdy nevies kto, alebo co je na druhej strane (cize ziadne cloudy (staci mi moj nextcloud)) a myslis si, ze zalohu mas pred nim dobre zasifrovanu, mozes sa mylit.
-
diskusia sa tu trochu zacyklila. je uplne zrejme ze prehliadate jednu nepravdepodobnu ale velmy dolezitu moznost. ako prevencia proti ransomwaru je v druhom rade hacknutie botnetu a a vymazanie jednotlivych nodov. viem v praxy to nerobim aj ja ale mozno by to niekoho mohlo nakopnut.
-
diskusia sa tu trochu zacyklila. je uplne zrejme ze prehliadate jednu nepravdepodobnu ale velmy dolezitu moznost. ako prevencia proti ransomwaru je v druhom rade hacknutie botnetu a a vymazanie jednotlivych nodov. viem v praxy to nerobim aj ja ale mozno by to niekoho mohlo nakopnut.
To je velmi zajímavé, mohl bys to nějak rozvést?
-
No ktomu co uz bylo receno, tak jeste dost pomaha antivirus co ma behavioarni skeny. Takze zastavi podezreli proces hned co se to zacne chovat jinak nez je norma. A ty normalnejsi ti ukazi i co se konkretne stalo, a muzes to odstepovat zpatky (abys videl jake to melo naslednosti, co kde jak se pustilo), ci vratit zpet co ten podezrelej proces provedl...
-
diskusia sa tu trochu zacyklila. je uplne zrejme ze prehliadate jednu nepravdepodobnu ale velmy dolezitu moznost. ako prevencia proti ransomwaru je v druhom rade hacknutie botnetu a a vymazanie jednotlivych nodov. viem v praxy to nerobim aj ja ale mozno by to niekoho mohlo nakopnut.
To je velmi zajímavé, mohl bys to nějak rozvést?
uplne teoreticky. ja nejsom haXor!
-
uplne teoreticky.
Úplně teoreticky si můžu postavit malý jaderný reaktor a začít si vytápět bazén. Obojí je v principu podobně těžké.
Ale ok, takhle napsáno...dejme tomu.
-
No ktomu co uz bylo receno, tak jeste dost pomaha antivirus co ma behavioarni skeny. Takze zastavi podezreli proces hned co se to zacne chovat jinak nez je norma. A ty normalnejsi ti ukazi i co se konkretne stalo, a muzes to odstepovat zpatky (abys videl jake to melo naslednosti, co kde jak se pustilo), ci vratit zpet co ten podezrelej proces provedl...
Což je hezká marketingová teorie, která v praxi narazí na to, že podobných produktů jsou ve světě jednotky, takže pokud není majitel botnet script kiddie, tak si samozřejmě svůj produkt odladí, aby ho to buď nechytlo, nebo aby milý antivirus vyřadil.
Ne, jediná šance je jak už bylo řečeno dříve, dělat časté a pravidelné zálohy a archivy, část z nich offline, co tu důrazně nezaznělo OVEŘOVAT funkčnost záloh.
-
Zaujimave, ze povinny online ucet u androidu, applu nevadi.
Co sa tyka WIndows 11, tak púri instalacii si clovek v sprievodcovi odklika, ktore udaje chce posielat a ktore nie, a tyka sa to aj reklam tretich stran (aplikacie cez Windows store). Ale na to by musel clovek cital na co klika vsakze, no to je u niektorych problem.
Recall je len opt-in, navyse si uklada data len lokalne. Defakto taky chrome robi este horsie veci a nikomu to nevadi.
Vo verzii pro ide nastavit aj manazment aktualizacii, takze sa mi este nikdy nestalo, ze by ma nejaka prekvapila.
A ake data Windows odosiela si viete lahko skontrolovat cez wireshark.
-
Povinný účet u Apple? Od kdy? Jak iPhony, tak Macy jdou používat bez online účtu. Nedostaneš se do AppStore a nemáš cloudové věci pro pohodlí, ale jde to. Když jsem instaloval Win11, tak jsem tam možnost bez online účtu v Home edici neviděl. Možná to pořád je možné ještě obejít instalací bez internetu, ale smrdí to.
Recall měl být opt-out, až po té hromadě odporu se trochu chytli za nos. A jaké horší věci, než že ukládá ve snadno čitelné podobě úplně všechno na obrazovce, včetně hesel, a citlivých dokumentů, které otevřeš třeba v pdf readeru, dělá Chrome? A dělá to i Firefox? Nebo nějaký jiný program, který si musí uživatel sám nainstalovat, zatímco tady se bavíme o něčem, co mělo být původně nainstalované a zapnuté automaticky pro všechny?
-
V domácím prostředí může dávat smysl mít něco jako Synology a tam dávat primárně všechna data, škoda, že domácí synology jsou tak děravé a všichni mají admin přístup ze stanice, kterou zároveň zálohují, to pak je na dvě věci.
Mohl bys tohle tvrzení trochu rozvést?
Protože to, že si to lidi zhusta nastavují tak, že prvotní instalaci udělají pod adminem a přes něj to pak používají, eventuálně všem uživatelům nastaví členství ve skupině admins, je jejich blbost, a je to praxe úplně stejně blbá, jako windows používat pod lokálním adminem.
-
Filmotéku mám na Synology, o kterou když přijdu tak ano, nebude to příjemné ale dokáži bez toho žít.
Rodinná videa a fotografie (cca 250GB) mám na Synology a zrcadlím i na odpojený USB disk (když dohraji tak hodím i na ten disk).
Jednou za rok udělám kopii na cca 10 BluRay disků (offline, odolné EMP atd). Čímž mi roste i počet kopií a i zpětně se mohu dostat k bodu "před infekcí".
Data co používám relativně často (cca 5GB) (dokumenty, PDFka atd) mám na Onedrive, což by mělo i ve free verzi umožňovat zpětnou obnovu v případě zašifrování (+ to mám přes Onedrive synchronizované na 2 PC). S tím, že jedno používám občas, pokud by došlo k zašifrování tak druhé odpojím od sítě, případně raději nabootuji přes liveCD, vyzálohuji (disky schválně kvůli tomu nemám šifrované) a případně mohu i nabootovat windows...
-
V domácím prostředí může dávat smysl mít něco jako Synology a tam dávat primárně všechna data, škoda, že domácí synology jsou tak děravé a všichni mají admin přístup ze stanice, kterou zároveň zálohují, to pak je na dvě věci.
Mohl bys tohle tvrzení trochu rozvést?
Protože to, že si to lidi zhusta nastavují tak, že prvotní instalaci udělají pod adminem a přes něj to pak používají, eventuálně všem uživatelům nastaví členství ve skupině admins, je jejich blbost, a je to praxe úplně stejně blbá, jako windows používat pod lokálním adminem.
To, že mají uživatelé admin přístup (před tím mimochodem varuje popup po přihlášení do web ui) a zůstávají přihlášení v prohlížeči je úplně jiný problém, šlo mi o to, že samotné Synology je možné konfigurovat přímo ze sítě, ze kterého ho vlastně používám jako uživatel. Tenhle přístup vůbec nechrání proti různými zranitelnostem (viz řada chyb u autorizace v DSM).
Historie nás učí, chyb v Synology bylo dost a nejspíš ještě další budou, správný postup je udělat DMZ pro administraci, tj. oddělit síťově alespoň porty, na kterých jsou služby určené pro správu. Běžné nasazení Synology je takové, že všichni na síti, kteří zálohují mají zároveň přístupnou i administraci a spoustu dalších endpointů, je otázka času než se objeví další zranitelnost a příjdu o data.
-
Pro domácí síť je to zbytečnej overkill a náklady navíc, a mají samozřejmě i modely nejen s 2x NIC na desce, ale i s možností další porty přidávat jako karty, a tam si to nakonfiguruješ jak chceš, klidně s management VLANou.
Pořád z toho ale nevychází, že by bylo pravdivý tvoje tvrzení, že to Synology má blbě, když to blbě používají uživatelé (nechám stranou, že ti domácí k tomu mají přímočarej důvod ekonomickej, protože intelovský multiNIC verze stojí proti ARMovým singleNIC dvojnásobek a víc).
-
pokud tam dáváš důležitá data, která rozhodně nechceš ztratit, overkill to není a je chyba Synology, že k tomu nenabízí snadnější cestu.
Pokud je výchozí nastavení nebezpečné, nelze to dávat za vinu uživatelům, ale prostě autorům, pořád se jedná o segment SOHO, kde se krabičky zapnou a používají. Vždyť správná konfigurace je dnes už slušná věda a je těžké to zajistit i v enterprise prostřědí, natož doma.
Nemusí se ani dělat VLAN, mohou zavést jinou technologii jak nemít na celé síti přístupné všem klientům jejich webapi, které má opakovaně díry (což se stává, u komplexního SW to nelze snadno eliminovat).
Takže ano, Synology to má blbě a je nebezpečné ho používat tak, jak to autoři doporučují.
-
Pořád budu minimálně částečně nesouhlasit. Je jednoznačně chybou především uživatele, že si vybral špatnou řadu, a že se montuje do věcí, které jsou mimo jeho odbornost.
Na kotel si objednáš topenáře, na bojler instalatéra, s autem jedeš do servisu, ale v byť malý firmě necháš informační bezpečnost řešit třeba účetní nebo svačináře? I když to co dáváš v sázku má hodnotu o několik řádů vyšší, než ten bojler a leckdy i to auto?
Jasně, nejde bezprostředně o život, jde jen o holou ekonomickou existenci několika lidí.
-
To je trochu liché, stačí se podívat jaké jsou profesní předpoklady pro topenáře, instalatéra a porovnat to třeba se správcem sítí, viz https://nsp.cz/. Nic moc, IT je na tohle dost mladé, těžko budou malé společnosti si najímat bezpečnostní architekta.
Hele, to je nesmysl, řešit bezpečnost stylu udělej si sám není řešení bezpečnosti, výrobek, který je určený koncovým spotřebitelům by se i tak měl chovat. Synology DiskStation je určen koncovým spotřebitelům a nechová se tak.
Tímhle směrem jde i Cyber Resilience Act (CRA), kde bude odpovědnost výrobců implicitní a nebudou se moci vymluvit na to, že to je konfigurační chyba uživatelů, když uživatel vlastně nic nekonfiguroval. To je stejné jak s routery a výchozími hesly, tak dlouho tady všichni ISP dávali lidem router se stejným heslem a tvrdili, že to je věcí zákazníka si to změnit až to dostali zákonem povinně.
Mně se nelíbí, že se musí takovéhle věci explicitně nařizovat, raději bych kdyby výrobci byli odpovědní a dělali to sami. Synology nejsou zrovna v tomhle moc pečliví, je dobré říct, že to dělají špatně, že to znamená nějakou práci na straně uživatele a že nestačí to pouze zapnout a používat, toť vše.
-
Takhle to ale skončí tak, že bude zákon nařizující, že i domácí wifinu bude muset instalovat a spravovat firma certifikovaná NÚKIB :-D
-
Takhle to ale skončí tak, že bude zákon nařizující, že i domácí wifinu bude muset instalovat a spravovat firma certifikovaná NÚKIB :-D
Navic na dalku :) Co by stat neudelal pro vetsi dobro svych obcanu!
-
Aniž bych četl všechny příspěvky k tématu, tak nejlepší ochrana pro ransomware je zálohování.
Nicméně to je pouze slovo, a počet zálohování je závislý pouze na ochotě uživatele zálohovat.
Z toho důvodu se většinou docela dobře osvědčili online cloudové služby.
Osobně mám zkušenosti s OneDrive. Dropbox se v praxi moc neosvědčil, hlavně finančně.
Jejich integrace do Windows je jednoznačně nejlepší, součástí jsou Office, a za cenu dnes tuším že nějakých 1700 Kč/rok pro 6 uživatelů s uložištěm 1TB pro každého (ale nic nevylučuje že má jeden uživatel např. dva účty, jeden pracovní a druhý osobní pak ta kapacita se sčítá!).
Má to offline soubory, má to 30 denní historii pro vrácení zpět po útoku a mnoho dalšího.
A jsou to náklady sakuprásk všechny.
Nějaký QNAP/Synology to je vždy drbání levou rukou za pravým uchem, a stejně se to zaviruje. Musí se o to starat a za tu pořizovací cenu je předplatné na 6 let.
Dále, u všech podobných služeb se musí jak NAS tak i Cloud zálohovat na offline média. podle velikosti dat např. na BD disky (25Gb).
Bavíme se zde o datech které nikdo nechce ztratit. A to stojí vždycky prachy. Ale to zálohování na BD je vždy pouze doplněk ke cloudu, protože cloud má dost vysokou bezpečnost (nedokáži ji vyjádřit ale u těch domácích verzích je to blízko čísla 99,99%, ty BD disky k tomu přidají další procenta, ale hlavně klid že data jsou na dvou místech, z toho jedno nesmazatelné, a dá se to dělat jedno za měsíc nebo jedno za kvartál apod.).
-
Cloud není zas tak bezpečný. Pokud ti někdo nabourá cloud účet, tak se k němu už nemusíš nikdy dostat, a ten attack surface i motivace u něj je mnohem větší, než u lokálního NASu. Nebo automatická detekce škodlivých materiálů označí fotky dětí u bazénku na zahradě za porno, a účet ti zablokujou sami. A když se cokoliv takového stane, tak dostat se k podpoře u firem typu MS je pro jednotlivého koncového uživatele prakticky nemožné. Lokální NAS se dá zachránit, dokud tam něco nezašifruje soubory i s jejich historií.
-
Z toho důvodu se většinou docela dobře osvědčili online cloudové služby.
Bacha, cloudová úložiště jako OneDrive, Gdrive, apod. NEJSOU zálohování. Je to synchronizace, a je potřeba se k tomu podle toho chovat. Takže když ti ransomware napadne počítač, jehož složky si synchronizuješ do cloudu, sesynchronizují se ti ty zašifrované soubory, a pokud máš vypnuté verzování (shadow copies), tak máš smolíka pacholíka úplně stejně. A i u těch shadow copies jsi chráněn jen za předpokladu, že ten ransomware je nesmaže (což každý ransomware hodný toho označení udělá).
Před ransomwarem tě ochrání jen snapshoty souborového systému úložiště, ke kterým uživatel a jeho počítač nemá zápisová práva, tzn provádí je účet tzv backup operátora nebo operační systém NASu, do kterého zálohy z počítače neprovádí uživatel se správcovskými právy k NASu.
Z tohoto pohledu je správný způsob takový, jaký používá např ActiveBackup for Business od Synology:
- na počítači máš uživatele, který je backup operator. Pod ním s právy zvýšenými pomocí UAC (protože k instalaci potřebuješ elevated rights) nainstaluješ agenta a ten se bude při startu spouštět v jeho kontextu. Skupina BackupOperators znamená, že má na počítači právo vytvářet stínové kopie a číst všechny soubory.
- na NASu máš uživatele, který má zápis do databáze záloh ActiveBackup (dejme mu login třeba ComputerBackup). Ten má právo zapisovat zálohy, ale už nemá právo je mazat; na to potřebuješ dalšího uživatele, např BackupAdmin.
- na NASu dále zřídíš uživatele s loginem např. Restore, který bude mít právo zálohy číst (nebo toto právo klidně můžeš dát uživateli ComputerBackup)
- na počítači uživatele ComputerBackup zadáš do nastavení připojení k NASu.
- na NASu nastavíš zálohovací úlohy a spustíš pro kontrolu prvotní zálohy, a později příležitostně zkontroluješ, že se zálohy provádějí, a nejlépe jejich obnovením do virtuálního stroje budeš příležitostně kontrolovat jejich validitu.
Pak, až tě napadne ransomware, dojde sice k tomu, že zálohy provedené po útoku už asi taky budou obsahovat zašifrované soubory, ale jelikož uživatel ComputerBackup nemá práva staré zálohy smazat, pořád je budeš mít, a máš jak obnovit stav před napadením. K tomu použiješ ideálně nový disk v počítači, recovery ISO, které si stáhneš na čistém stroji, a login Restore, eventuálně ComputerBackup, pokud jsi mu dal právo zálohy číst.
Jakmile ověříš, že máš zálohu správně obnovenou, nejlépe tu nejčerstvější před napadením, můžeš kompromitované zálohy se soubory útokem zničenými smazat, eventuálně je postupně od nejnovější zkusit ve VM izolovaném od sítě nebo na k tomu určeném počítači, jestli tam není některý soubor který potřebuješ v kopii novější, než je ta v poslední bezpečné záloze. Akorát to chce se ujistit, že si jeho přenesením obnovený stroj znova nenakazíš.
-
Nějaký QNAP/Synology to je vždy drbání levou rukou za pravým uchem, a stejně se to zaviruje. Musí se o to starat a za tu pořizovací cenu je předplatné na 6 let.
A jak přesně jsi na TOHLE přišel? Máme ve firmě RS2212RP+ (tu už teď mám jen jako pomocnou, produkční je něco novějšího a mnohem většího), v prodeji byla od jara roku 2012, poslední aktualizaci dostala vloni v létě (tzn 11,5 roku kompletní podpory). Na doslova VŠECHNO, co v ní kdy běželo, je licence v ceně a trvalá (Surveillance Station jsme na tom nepoužívali, takže licence kamer jsme nekupovali).
Většinu času v ní bylo 10x 2TB = 20TB (teď už je v ní podstatně víc), za cenu co stála včetně disků by to na OneDrive bylo předplatné na DVA (slovy DVA) roky.
Kromě SMB (které OneDrive neumí) a privátního cloudového úložiště (což je technicky jen lehce ohnutý GoogleDrive) na tom běžel webový server (což OneDrive neumí), iSCSI server pro virtualizaci (což OneDrive neumí), znalostní wiki (což OneDrive neumí), tiketovací systém (což OneDrive neumí), a právě zálohování jak počítačů (což OneDrive umí jen na úrovni stínových kopií souborů ve vybraných složkách, rozhodně neumí bare-metal zálohu systému), tak virtualizačních serverů (VMware a HyperV, což, jak tě možná překvapí, OneDrive TAKY neumí).
Od těch vysloveně kritických věcí se navíc dělaly průběžné zálohy na externí USB disky. Což OneDrive TAKY NEUMÍ.
Firemní OneDrive skrz 365 máme taky, ale jako zálohovací zařízení je to fakt naprostej a totální nesmysl.
-
Aniž bych četl všechny příspěvky k tématu, tak nejlepší ochrana pro ransomware je zálohování.
Nicméně to je pouze slovo, a počet zálohování je závislý pouze na ochotě uživatele zálohovat.
Z toho důvodu se většinou docela dobře osvědčili online cloudové služby.
Osobně mám zkušenosti s OneDrive. Dropbox se v praxi moc neosvědčil, hlavně finančně.
...
Takze o zalohovani nic nevis, ale to ti nebrani k tomu plkat. I disketa je o rad spolehlivejsi nez onedrive a vsechny podobny shity, ktery se na zalohovani vubec pouzivat nedaji. A to nikdy a na zadne.
Jak tu padlo, kdykoli a lusknutim prstu o ta data prijdes. Z naprosto libovolneho duvodu.
-
Plus s NASem je tam jedna dost zásadní výhoda. Na LANce nejsi omezen rychlostí připojení k internetu. Až budeš zálohovat třeba bare-metal image počítače z lokální zálohy na OneDrive, budeš mít velký štěstí, když to doběhne před spuštěním dalšího kola zálohování. Pokud to vůbec doběhne, protože pokud to je noťas co se někam stěhuje, tak zjistíš, že OneDrive neumí navázání přenosu, takže když ti přenos spadne, nedokončený soubory se přenáší znova od začátku.
Naproti tomu s NASem ti to na lokální síti pojede rychlostí LANky.
Navíc AB4B nejenže umí rozdílový zálohování změn proti předchozímu stavu, ale umí i deduplikaci na úložišti (což OneDrive taky neumí).
Himbajs, dokonce i když si za desítku koupíš blbý WinSrv Essentials, budeš na tom líp, protože budeš mít nativní ADčko pro 50 uživatelů, naprosto libovolnou kapacitu úložiště, iSCSI, deduplikaci, webserver, dockerovou kontejnerizaci, WSL, a on-premise exchange, a bude záležet jen na tobě kolik RAM, disků, a procesorovýho výkonu do toho (v rámci licenčních podmínek, kde je omezení na jeden sokl a tuším 16 jader) nakrmíš. A když je koupíš v nový verzi krátce po vydání, máš garantovanou 10 let plnou a dalších 5 let rozšířenou podporu a aktualizace, s možností migrace na novou verzi až vyjde, opět za cenu Essentials licence.