Jak zabránit zašifrování disku hackery

Re:Jak zabránit zašifrování disku hackery
« Odpověď #15 kdy: 22. 06. 2024, 18:58:44 »
cim drive tim je mensi sance, ze to zasifrovane je, nebo se to zacina sifrovat, proto doporucuji zacit zalohovat hned.
O tom se ale nebavíme. To, že si naplánujete, že začnete zálohovat za pět let, vám teď data opravdu nezachrání.

Asi nechápete princip zálohování. Princip zálohování spočívá v tom, že se zálohuje pravidelně, třeba jednou denně. Takže dnes zazálohuju data, zítra zazálohuju data, abych měl zálohu i toho, co změním a vytvořím zítra. Pozítří zase zazálohuju data, abych měl zálohu toho, co vytvořím zítra a pozítří. No a zálohy se obvykle neuchovávají nekonečně dlouho, ale starší zálohy se odmazávají. Takže budete mít zálohu třeba za posledních 7 dnů, pak z doby před 14 dny, před měsícem, před půl rokem a před rokem.

No a problém je, když se vám do záloh dostanou ransomware zašifrované soubory. Takže třeba máte ty zálohy až měsíc zpět, ale tam jsou soubory zašifrované, a pak máte zálohu před napadením ransomware, ale ta je půl roku stará. (A nebo pokud někdo dělá zálohy tak, že jen soubory někam nakopíruje a přepíše předchozí zálohu, nemá žádné starší zálohy.)

V tomhle vám spuštění zálohování z jiného systému nijak nepomůže, protože ten jiný systém prostě vezme ty zašifrované soubory a zapíše je do zálohy. V tomhle pomáhá jenom zjistit napadení ransomware co nejdříve, dokud ještě nejsou zálohy s nezašifrovanými daty moc staré (nebo úplně přepsané).

Navíc u zálohování je důležité, aby se dělalo pravidelně, tedy automaticky, tedy někde na pozadí používaného systému. Pokud musíte ručně rebootovat do jiného systému, asi ty zálohy nebudete dělat moc pravidelně.


Re:Jak zabránit zašifrování disku hackery
« Odpověď #16 kdy: 22. 06. 2024, 21:12:38 »
odpojovat usb disk je skoro k ničemu, protože si na něj ten malware počká až ho připojíš, readonly je také občas k ničemu, prostě si ho může připojit jako rw nebo zapisovat přímo na dev, když má vysoká práva.

Cokoliv je připojeno přímo na kompromitovanou stanici nedokážeš nijak rozumně zabezpečit. Ve firemní prostředí používáme vzdáleně připojený storage (FC, webdav, iscsi atd.) nad append only (či cow) filesystemem ať už to je netapp, zfs nebo pásky a vždy počítáme s tím, že data na stanici/serveru se mohou kdykoliv kompletně ztratit.

Každou takovou zálohu/repliku je nutné kontrolovat, jestli obsahuje to co má, už se objevily malwary, které cíleně šifrovaly nahrávaná data na vzdálený disk, ale nechávaly ty lokální (pak stačí rm -rf a už nic neobnovíš a detektory to nemusí stihnout zjistit, že je něco špatně).

V domácím prostředí může dávat smysl mít něco jako Synology a tam dávat primárně všechna data, škoda, že domácí synology jsou tak děravé a všichni mají admin přístup ze stanice, kterou zároveň zálohují, to pak je na dvě věci.

CPU

  • *****
  • 893
    • Zobrazit profil
    • E-mail
Re:Jak zabránit zašifrování disku hackery
« Odpověď #17 kdy: 23. 06. 2024, 07:55:58 »
V domácím prostředí může dávat smysl mít něco jako Synology a tam dávat primárně všechna data, škoda, že domácí synology jsou tak děravé a všichni mají admin přístup ze stanice, kterou zároveň zálohují, to pak je na dvě věci.

To je přeci na tom, jak si to nastavíš voe  ???
Evidentně jsi backupagenta Synology nikdy nepoužil, protože bys znal systém oprávnění, který se tam nastavuje a že se k datům bez přihlášení k Synology nedostaneš. Nebo dostaneš, protože to chceš, ale jen pro R/O, protože si to tak nastavíš.

Re:Jak zabránit zašifrování disku hackery
« Odpověď #18 kdy: 25. 06. 2024, 12:41:27 »
BACKUP 3-2-1

Re:Jak zabránit zašifrování disku hackery
« Odpověď #19 kdy: 25. 06. 2024, 14:34:09 »
I naprostí tupíří programátoři berou devadesát tisíc měsíčně a pořídit si Synology včetně slušné kapacity je banalita.

Tak to samo o sobě není úplně argument. Podstatná není jen výše příjmů ale taky výše výdajů. Kdybych měl kupovat všechno, co je "banalita" jen proto, že mám vysoký příjem, moc by mi z něj nezůstalo, že jo... Ale jinak je to samozřejmě lepší než rezavým drátem do oka, to bezpochyby.


Re:Jak zabránit zašifrování disku hackery
« Odpověď #20 kdy: 25. 06. 2024, 15:06:23 »
asi jsem moc paranoidní, ale stejně bych se bál zase nějaké díry v systému, za mě je důležité pojištění archivací - offline nebo fyzicky R/O. Takže ano, nepoužívám účet admin, mám nastavená práva pro různé účty, nevystavuji NAS do Internetu - ale stejně archivuji na kupu HDD co pak strkám do skříně (co s nima jinýho, přece je nevyhodím :-))

CPU

  • *****
  • 893
    • Zobrazit profil
    • E-mail
Re:Jak zabránit zašifrování disku hackery
« Odpověď #21 kdy: 25. 06. 2024, 16:57:53 »
pojištění archivací - offline

Pokud máš tak velký strach, můžeš se bát i vytopení, povodně, zásahu meteoritu, požáru, že ti děcka odnesou zálohy do bazaru ať mají na špek, že tě vykradou, že tvoje data budou zajímat CIA...

Né, jako jednoduše. Když tě sžírají takové hrozné obavy, vezmi svoje starší pecko, ať se ti jednou za týden samo zapne, provede RSYNC vůči Synology a zase se vypne. Ale ano, offline zálohy mají obecně svoje nezastupitelné místo.

CPU

  • *****
  • 893
    • Zobrazit profil
    • E-mail
Re:Jak zabránit zašifrování disku hackery
« Odpověď #22 kdy: 25. 06. 2024, 17:26:57 »
Edit: Na ten RSYNC jednou týdně ti stačí i nějaký ARM-jako-RPI s diskem připojeným přes USB.
Zapínat to můžeš třeba časovací zásuvkou, vypne se to samo po dokončení RSYNCU.

Čas zapnutí ---> Tady se to vypne samo, protože se Rsync dokončí ---> Tady by to skončilo při plném RSYNCU ---> Tady to vypne zásuvka sama ---> Tady to 5 dnů je vypnuté ---> Od začátku

Klidně můžeš točit dva disky, ať máš dvě zálohy ze sudého a lichého týdne.

Re:Jak zabránit zašifrování disku hackery
« Odpověď #23 kdy: 25. 06. 2024, 20:33:31 »
Co bezny clovek zalohuje v domacom prostredi ?
Napr. ja nie som ani fotograf, ani youtuber, alebo podobny blazon, takze fotky a videa nemam. To by bol asi najgigantickejsi obsah na zalohovanie. Toto si bezny ludia zalohuju, zaplnia tym obrovske GIGA (pre mna) zbytocnymi datami a mozno sa na to nikdy nepozru.
Dalsia vec na zalohovanie by bolo keby som bol spisovatel. Mal by som rozpisane nejake knihy a ak by mi  nesiel otvorit subor v libre office, tak to by som sa asi nas**l. Ovsem odt/doc subory nie su prilis velke, takze zaloha je v pohode aj na xy roznych miestach.
Ak si projektant, mozes  mat nejake dwg, dxf a pod. Ak by si o to prisiel, tiez by ta to nepotesilo (avsak tiez sa jedna o male objemy dat)
Napis nam prosim co konkretne chces zalohovat!
Ak si vezmem seba, tak ja vlastne ani nemam co zalohovat  :P
Som IT nadsenec a mam maly LAB. Na jednom HW toho prevadzkujem pomerne dost a mam k tomu hodne poznamok. Najviac by ma nas**lo, keby som o tie poznamky prisiel. Tie poznamky mam sice v dokuwiki, ale web je vystaveny do internetu, avsak pre verejnost je uzamknuty. Uvazoval som to nechat len na lokale, ale uz to mam tak roky.
Samozrejme vsetky kontejnery, KVM, weby atd. mam zalohovane. V pripade vypadku HW (nebodaj oboch diskov (zfs mirror)), to viem docela rychlo nahodit.
Zalohovanie nejakych dat na tretie strany sa mi moc nepozdava. Nikdy nevies kto, alebo co je na druhej strane (cize ziadne cloudy (staci mi moj nextcloud)) a myslis si, ze zalohu mas pred nim dobre zasifrovanu, mozes sa mylit.

e3k

  • ****
  • 260
    • Zobrazit profil
    • E-mail
Re:Jak zabránit zašifrování disku hackery
« Odpověď #24 kdy: 25. 06. 2024, 21:09:16 »
diskusia sa tu trochu zacyklila. je uplne zrejme ze prehliadate jednu nepravdepodobnu ale velmy dolezitu moznost. ako prevencia proti ransomwaru je v druhom rade hacknutie botnetu a a vymazanie jednotlivych nodov. viem v praxy to nerobim aj ja ale mozno by to niekoho mohlo nakopnut.

CPU

  • *****
  • 893
    • Zobrazit profil
    • E-mail
Re:Jak zabránit zašifrování disku hackery
« Odpověď #25 kdy: 25. 06. 2024, 21:12:45 »
diskusia sa tu trochu zacyklila. je uplne zrejme ze prehliadate jednu nepravdepodobnu ale velmy dolezitu moznost. ako prevencia proti ransomwaru je v druhom rade hacknutie botnetu a a vymazanie jednotlivych nodov. viem v praxy to nerobim aj ja ale mozno by to niekoho mohlo nakopnut.

To je velmi zajímavé, mohl bys to nějak rozvést?

Re:Jak zabránit zašifrování disku hackery
« Odpověď #26 kdy: 26. 06. 2024, 08:21:33 »
No ktomu co uz bylo receno, tak jeste dost pomaha antivirus co ma behavioarni skeny. Takze zastavi podezreli proces hned co se to zacne chovat jinak nez je norma. A ty normalnejsi ti ukazi i co se konkretne stalo, a muzes to odstepovat zpatky (abys videl jake to melo naslednosti, co kde jak se pustilo), ci vratit zpet co ten podezrelej proces provedl...

e3k

  • ****
  • 260
    • Zobrazit profil
    • E-mail
Re:Jak zabránit zašifrování disku hackery
« Odpověď #27 kdy: 27. 06. 2024, 21:06:12 »
diskusia sa tu trochu zacyklila. je uplne zrejme ze prehliadate jednu nepravdepodobnu ale velmy dolezitu moznost. ako prevencia proti ransomwaru je v druhom rade hacknutie botnetu a a vymazanie jednotlivych nodov. viem v praxy to nerobim aj ja ale mozno by to niekoho mohlo nakopnut.

To je velmi zajímavé, mohl bys to nějak rozvést?
uplne teoreticky. ja nejsom haXor!

CPU

  • *****
  • 893
    • Zobrazit profil
    • E-mail
Re:Jak zabránit zašifrování disku hackery
« Odpověď #28 kdy: 28. 06. 2024, 00:12:05 »
uplne teoreticky.

Úplně teoreticky si můžu postavit malý jaderný reaktor a začít si vytápět bazén. Obojí je v principu podobně těžké.
Ale ok, takhle napsáno...dejme tomu.

Wasper

  • ***
  • 122
    • Zobrazit profil
    • E-mail
Re:Jak zabránit zašifrování disku hackery
« Odpověď #29 kdy: 28. 06. 2024, 11:55:21 »
No ktomu co uz bylo receno, tak jeste dost pomaha antivirus co ma behavioarni skeny. Takze zastavi podezreli proces hned co se to zacne chovat jinak nez je norma. A ty normalnejsi ti ukazi i co se konkretne stalo, a muzes to odstepovat zpatky (abys videl jake to melo naslednosti, co kde jak se pustilo), ci vratit zpet co ten podezrelej proces provedl...
Což je hezká marketingová teorie, která v praxi narazí na to, že podobných produktů jsou ve světě jednotky, takže pokud není majitel botnet script kiddie, tak si samozřejmě svůj produkt odladí, aby ho to buď nechytlo, nebo aby milý antivirus vyřadil.

Ne, jediná šance je jak už bylo řečeno dříve, dělat časté a pravidelné zálohy a archivy, část z nich offline, co tu důrazně nezaznělo OVEŘOVAT funkčnost záloh.