Jak zabránit zašifrování disku hackery

[oss]

Zaujimave, ze povinny online ucet u androidu, applu nevadi.

Co sa tyka WIndows 11, tak púri instalacii si clovek v sprievodcovi odklika, ktore udaje chce posielat a ktore nie, a tyka sa to aj reklam tretich stran (aplikacie cez Windows store). Ale na to by musel clovek cital na co klika vsakze, no to je u niektorych problem.

Recall je len opt-in, navyse si uklada data len lokalne. Defakto taky chrome robi este horsie veci a nikomu to nevadi.

Vo verzii pro ide nastavit aj manazment aktualizacii, takze sa mi este nikdy nestalo, ze by ma nejaka prekvapila.

A ake data Windows odosiela si viete lahko skontrolovat cez wireshark.

[Reklama]

[Zopper]

Povinný účet u Apple? Od kdy? Jak iPhony, tak Macy jdou používat bez online účtu. Nedostaneš se do AppStore a nemáš cloudové věci pro pohodlí, ale jde to. Když jsem instaloval Win11, tak jsem tam možnost bez online účtu v Home edici neviděl. Možná to pořád je možné ještě obejít instalací bez internetu, ale smrdí to.

Recall měl být opt-out, až po té hromadě odporu se trochu chytli za nos. A jaké horší věci, než že ukládá ve snadno čitelné podobě úplně všechno na obrazovce, včetně hesel, a citlivých dokumentů, které otevřeš třeba v pdf readeru, dělá Chrome? A dělá to i Firefox? Nebo nějaký jiný program, který si musí uživatel sám nainstalovat, zatímco tady se bavíme o něčem, co mělo být původně nainstalované a zapnuté automaticky pro všechny?

[Marek Staněk]

V domácím prostředí může dávat smysl mít něco jako Synology a tam dávat primárně všechna data, škoda, že domácí synology jsou tak děravé a všichni mají admin přístup ze stanice, kterou zároveň zálohují, to pak je na dvě věci.

Mohl bys tohle tvrzení trochu rozvést?
Protože to, že si to lidi zhusta nastavují tak, že prvotní instalaci udělají pod adminem a přes něj to pak používají, eventuálně všem uživatelům nastaví členství ve skupině admins, je jejich blbost, a je to praxe úplně stejně blbá, jako windows používat pod lokálním adminem.

[Molex1]

Filmotéku mám na Synology, o kterou když přijdu tak ano, nebude to příjemné ale dokáži bez toho žít.

Rodinná videa a fotografie (cca 250GB) mám na Synology a zrcadlím i na odpojený USB disk (když dohraji tak hodím i na ten disk).

Jednou za rok udělám kopii na cca 10 BluRay disků (offline, odolné EMP atd). Čímž mi roste i počet kopií a i zpětně se mohu dostat k bodu "před infekcí".

Data co používám relativně často (cca 5GB) (dokumenty, PDFka atd) mám na Onedrive, což by mělo i ve free verzi umožňovat zpětnou obnovu v případě zašifrování (+ to mám přes Onedrive synchronizované na 2 PC). S tím, že jedno používám občas, pokud by došlo k zašifrování tak druhé odpojím od sítě, případně raději nabootuji přes liveCD, vyzálohuji (disky schválně kvůli tomu nemám šifrované) a případně mohu i nabootovat windows...

[_Tomáš_]

V domácím prostředí může dávat smysl mít něco jako Synology a tam dávat primárně všechna data, škoda, že domácí synology jsou tak děravé a všichni mají admin přístup ze stanice, kterou zároveň zálohují, to pak je na dvě věci.

Mohl bys tohle tvrzení trochu rozvést?
Protože to, že si to lidi zhusta nastavují tak, že prvotní instalaci udělají pod adminem a přes něj to pak používají, eventuálně všem uživatelům nastaví členství ve skupině admins, je jejich blbost, a je to praxe úplně stejně blbá, jako windows používat pod lokálním adminem.

To, že mají uživatelé admin přístup (před tím mimochodem varuje popup po přihlášení do web ui) a zůstávají přihlášení v prohlížeči je úplně jiný problém, šlo mi o to, že samotné Synology je možné konfigurovat přímo ze sítě, ze kterého ho vlastně používám jako uživatel. Tenhle přístup vůbec nechrání proti různými zranitelnostem (viz řada chyb u autorizace v DSM).

Historie nás učí, chyb v Synology bylo dost a nejspíš ještě další budou, správný postup je udělat DMZ pro administraci, tj. oddělit síťově alespoň porty, na kterých jsou služby určené pro správu. Běžné nasazení Synology je takové, že všichni na síti, kteří zálohují mají zároveň přístupnou i administraci a spoustu dalších endpointů, je otázka času než se objeví další zranitelnost a příjdu o data.

[Reklama]

[Marek Staněk]

Pro domácí síť je to zbytečnej overkill a náklady navíc, a mají samozřejmě i modely nejen s 2x NIC na desce, ale i s možností další porty přidávat jako karty, a tam si to nakonfiguruješ jak chceš, klidně s management VLANou.
Pořád z toho ale nevychází, že by bylo pravdivý tvoje tvrzení, že to Synology má blbě, když to blbě používají uživatelé (nechám stranou, že ti domácí k tomu mají přímočarej důvod ekonomickej, protože intelovský multiNIC verze stojí proti ARMovým singleNIC dvojnásobek a víc).

[_Tomáš_]

pokud tam dáváš důležitá data, která rozhodně nechceš ztratit, overkill to není a je chyba Synology, že k tomu nenabízí snadnější cestu.

Pokud je výchozí nastavení nebezpečné, nelze to dávat za vinu uživatelům, ale prostě autorům, pořád se jedná o segment SOHO, kde se krabičky zapnou a používají. Vždyť správná konfigurace je dnes už slušná věda a je těžké to zajistit i v enterprise prostřědí, natož doma.

Nemusí se ani dělat VLAN, mohou zavést jinou technologii jak nemít na celé síti přístupné všem klientům jejich webapi, které má opakovaně díry (což se stává, u komplexního SW to nelze snadno eliminovat).

Takže ano, Synology to má blbě a je nebezpečné ho používat tak, jak to autoři doporučují.

[Marek Staněk]

Pořád budu minimálně částečně nesouhlasit. Je jednoznačně chybou především uživatele, že si vybral špatnou řadu, a že se montuje do věcí, které jsou mimo jeho odbornost.
Na kotel si objednáš topenáře, na bojler instalatéra, s autem jedeš do servisu, ale v byť malý firmě necháš informační bezpečnost řešit třeba účetní nebo svačináře? I když to co dáváš v sázku má hodnotu o několik řádů vyšší, než ten bojler a leckdy i to auto?
Jasně, nejde bezprostředně o život, jde jen o holou ekonomickou existenci několika lidí.

[_Tomáš_]

To je trochu liché, stačí se podívat jaké jsou profesní předpoklady pro topenáře, instalatéra a porovnat to třeba se správcem sítí, viz https://nsp.cz/. Nic moc, IT je na tohle dost mladé, těžko budou malé společnosti si najímat bezpečnostní architekta.

Hele, to je nesmysl, řešit bezpečnost stylu udělej si sám není řešení bezpečnosti, výrobek, který je určený koncovým spotřebitelům by se i tak měl chovat. Synology DiskStation je určen koncovým spotřebitelům a nechová se tak.

Tímhle směrem jde i Cyber Resilience Act (CRA), kde bude odpovědnost výrobců implicitní a nebudou se moci vymluvit na to, že to je konfigurační chyba uživatelů, když uživatel vlastně nic nekonfiguroval. To je stejné jak s routery a výchozími hesly, tak dlouho tady všichni ISP dávali lidem router se stejným heslem a tvrdili, že to je věcí zákazníka si to změnit až to dostali zákonem povinně.

Mně se nelíbí, že se musí takovéhle věci explicitně nařizovat, raději bych kdyby výrobci byli odpovědní a dělali to sami. Synology nejsou zrovna v tomhle moc pečliví, je dobré říct, že to dělají špatně, že to znamená nějakou práci na straně uživatele a že nestačí to pouze zapnout a používat, toť vše.

[Marek Staněk]

Takhle to ale skončí tak, že bude zákon nařizující, že i domácí wifinu bude muset instalovat a spravovat firma certifikovaná NÚKIB :-D

[LamZelezo]

Takhle to ale skončí tak, že bude zákon nařizující, že i domácí wifinu bude muset instalovat a spravovat firma certifikovaná NÚKIB :-D

Navic na dalku Co by stat neudelal pro vetsi dobro svych obcanu!

[honzako]

Aniž bych četl všechny příspěvky k tématu, tak nejlepší ochrana pro ransomware je zálohování.

Nicméně to je pouze slovo, a počet zálohování je závislý pouze na ochotě uživatele zálohovat.
Z toho důvodu se většinou docela dobře osvědčili online cloudové služby.
Osobně mám zkušenosti s OneDrive. Dropbox se v praxi moc neosvědčil, hlavně finančně.

Jejich integrace do Windows je jednoznačně nejlepší, součástí jsou Office, a za cenu dnes tuším že nějakých 1700 Kč/rok pro 6 uživatelů s uložištěm 1TB pro každého (ale nic nevylučuje že má jeden uživatel např. dva účty, jeden pracovní a druhý osobní pak ta kapacita se sčítá!).
Má to offline soubory, má to 30 denní historii pro vrácení zpět po útoku a mnoho dalšího.
A jsou to náklady sakuprásk všechny.

Nějaký QNAP/Synology to je vždy drbání levou rukou za pravým uchem, a stejně se to zaviruje. Musí se o to starat a za tu pořizovací cenu je předplatné na 6 let.
Dále, u všech podobných služeb se musí jak NAS tak i Cloud zálohovat na offline média. podle velikosti dat např. na BD disky (25Gb).
Bavíme se zde o datech které nikdo nechce ztratit. A to stojí vždycky prachy. Ale to zálohování na BD je vždy pouze doplněk ke cloudu, protože cloud má dost vysokou bezpečnost (nedokáži ji vyjádřit ale u těch domácích verzích je to blízko čísla 99,99%, ty BD disky k tomu přidají další procenta, ale hlavně klid že data jsou na dvou místech, z toho jedno nesmazatelné, a dá se to dělat jedno za měsíc nebo jedno za kvartál apod.).

[Zopper]

Cloud není zas tak bezpečný. Pokud ti někdo nabourá cloud účet, tak se k němu už nemusíš nikdy dostat, a ten attack surface i motivace u něj je mnohem větší, než u lokálního NASu. Nebo automatická detekce škodlivých materiálů označí fotky dětí u bazénku na zahradě za porno, a účet ti zablokujou sami. A když se cokoliv takového stane, tak dostat se k podpoře u firem typu MS je pro jednotlivého koncového uživatele prakticky nemožné. Lokální NAS se dá zachránit, dokud tam něco nezašifruje soubory i s jejich historií.

[Marek Staněk]

Z toho důvodu se většinou docela dobře osvědčili online cloudové služby.

Bacha, cloudová úložiště jako OneDrive, Gdrive, apod. NEJSOU zálohování. Je to synchronizace, a je potřeba se k tomu podle toho chovat. Takže když ti ransomware napadne počítač, jehož složky si synchronizuješ do cloudu, sesynchronizují se ti ty zašifrované soubory, a pokud máš vypnuté verzování (shadow copies), tak máš smolíka pacholíka úplně stejně. A i u těch shadow copies jsi chráněn jen za předpokladu, že ten ransomware je nesmaže (což každý ransomware hodný toho označení udělá).

Před ransomwarem tě ochrání jen snapshoty souborového systému úložiště, ke kterým uživatel a jeho počítač nemá zápisová práva, tzn provádí je účet tzv backup operátora nebo operační systém NASu, do kterého zálohy z počítače neprovádí uživatel se správcovskými právy k NASu.

Z tohoto pohledu je správný způsob takový, jaký používá např ActiveBackup for Business od Synology:
- na počítači máš uživatele, který je backup operator. Pod ním s právy zvýšenými pomocí UAC (protože k instalaci potřebuješ elevated rights) nainstaluješ agenta a ten se bude při startu spouštět v jeho kontextu. Skupina BackupOperators znamená, že má na počítači právo vytvářet stínové kopie a číst všechny soubory.
- na NASu máš uživatele, který má zápis do databáze záloh ActiveBackup (dejme mu login třeba ComputerBackup). Ten má právo zapisovat zálohy, ale už nemá právo je mazat; na to potřebuješ dalšího uživatele, např BackupAdmin.
- na NASu dále zřídíš uživatele s loginem např. Restore, který bude mít právo zálohy číst (nebo toto právo klidně můžeš dát uživateli ComputerBackup)
- na počítači uživatele ComputerBackup zadáš do nastavení připojení k NASu.
- na NASu nastavíš zálohovací úlohy a spustíš pro kontrolu prvotní zálohy, a později příležitostně zkontroluješ, že se zálohy provádějí, a nejlépe jejich obnovením do virtuálního stroje budeš příležitostně kontrolovat jejich validitu.

Pak, až tě napadne ransomware, dojde sice k tomu, že zálohy provedené po útoku už asi taky budou obsahovat zašifrované soubory, ale jelikož uživatel ComputerBackup nemá práva staré zálohy smazat, pořád je budeš mít, a máš jak obnovit stav před napadením. K tomu použiješ ideálně nový disk v počítači, recovery ISO, které si stáhneš na čistém stroji, a login Restore, eventuálně ComputerBackup, pokud jsi mu dal právo zálohy číst.
Jakmile ověříš, že máš zálohu správně obnovenou, nejlépe tu nejčerstvější před napadením, můžeš kompromitované zálohy se soubory útokem zničenými smazat, eventuálně je postupně od nejnovější zkusit ve VM izolovaném od sítě nebo na k tomu určeném počítači, jestli tam není některý soubor který potřebuješ v kopii novější, než je ta v poslední bezpečné záloze. Akorát to chce se ujistit, že si jeho přenesením obnovený stroj znova nenakazíš.

[Marek Staněk]

Nějaký QNAP/Synology to je vždy drbání levou rukou za pravým uchem, a stejně se to zaviruje. Musí se o to starat a za tu pořizovací cenu je předplatné na 6 let.

A jak přesně jsi na TOHLE přišel? Máme ve firmě RS2212RP+ (tu už teď mám jen jako pomocnou, produkční je něco novějšího a mnohem většího), v prodeji byla od jara roku 2012, poslední aktualizaci dostala vloni v létě (tzn 11,5 roku kompletní podpory). Na doslova VŠECHNO, co v ní kdy běželo, je licence v ceně a trvalá (Surveillance Station jsme na tom nepoužívali, takže licence kamer jsme nekupovali).
Většinu času v ní bylo 10x 2TB = 20TB (teď už je v ní podstatně víc), za cenu co stála včetně disků by to na OneDrive bylo předplatné na DVA (slovy DVA) roky.
Kromě SMB (které OneDrive neumí) a privátního cloudového úložiště (což je technicky jen lehce ohnutý GoogleDrive) na tom běžel webový server (což OneDrive neumí), iSCSI server pro virtualizaci (což OneDrive neumí), znalostní wiki (což OneDrive neumí), tiketovací systém (což OneDrive neumí), a právě zálohování jak počítačů (což OneDrive umí jen na úrovni stínových kopií souborů ve vybraných složkách, rozhodně neumí bare-metal zálohu systému), tak virtualizačních serverů (VMware a HyperV, což, jak tě možná překvapí, OneDrive TAKY neumí).
Od těch vysloveně kritických věcí se navíc dělaly průběžné zálohy na externí USB disky. Což OneDrive TAKY NEUMÍ.

Firemní OneDrive skrz 365 máme taky, ale jako zálohovací zařízení je to fakt naprostej a totální nesmysl.