ComputerBase Menü
Aktuelles

Schutz vor Ransomware wie?

Ich empfehle erstmal die Netiquette, und danach empfehle ich mich ... adieu
 
PHuV schrieb:
Snapshot ist das falsche Wort für Backups
Zum Vergrößern anklicken....
snapshots schützen ebenso wie backups vor datenverlust durch versehentliches oder absichtliches löschen oder manipulieren. da sie auf dem selben system existieren schützen sie natürlich nicht vor hardwareausfall jeglicher art, das sollte einem bewusst sein. die frage war allerdings hier der schutz vor ransomware, dagegen helfen sie sehr gut (vorausgesetzt, die ransomware hat nur zugriff auf die daten und nicht auf das eigentliche system).

da snapshots nichts kosten, kann man sie ruhig nutzen - im falle des falles lassen sich damit daten schneller wiederherstellen als durch das einspielen eines externen backups.
 
PHuV schrieb:
Software aus dubiosen Quellen installieren
Zum Vergrößern anklicken....
Hierzu noch ein kleiner Tipp. Unter Windows ist es ja immer noch unüblich Software aus einem Store/Repository zu installieren. Das macht es nicht immer einfach dubiose Quellen zu erkennen. Typisches Beispiel ist ja hier immer der Medienplayer VLC und der ominösen Seite www.vlc.de

Wenn man da so ein bisschen mehr Sicherheit rein bringen will kann man bei der gewünschten Software einfach mal den Wikipedia-Artikel raussucht. Da ist i.d.R. die Herstellerseite verlinkt. Das ist jetzt kein 100%-Schutz (weil in Wikipedia jeder reinschreiben kann), aber bietet deutlich höhere Chance auf die richtige Seite als einfach nur bei Google zu suchen.
 
0x8100 schrieb:
(...)die frage war allerdings hier der schutz vor ransomware, dagegen helfen sie sehr gut (vorausgesetzt, die ransomware hat nur zugriff auf die daten und nicht auf das eigentliche system).
(...)
Zum Vergrößern anklicken....
Diese Voraussetzung ist aber nie gegeben. Man muss davon ausgehen, dass unerwünschte auf das System gelangte Software die Rechteverwaltung bereits ausgehebelt hat.
 
Schinken42 schrieb:
Diese Voraussetzung ist aber nie gegeben.
Zum Vergrößern anklicken....
Naja. Dadurch das die Daten hier auf dem NAS gespeichert werden ist die Vorraussetzung in gewisser weise schon gegeben. Klar. Der Laptop muss dann als verseucht angesehen werden egal ob die Ransomware Admin-Rechte erlangt hat oder nicht. Aber das System auf dem NAS bleibt da davon zunächst unberührt.
 
Schinken42 schrieb:
Diese Voraussetzung ist aber nie gegeben. Man muss davon ausgehen, dass unerwünschte auf das System gelangte Software die Rechteverwaltung bereits ausgehebelt hat.
Zum Vergrößern anklicken....
das klassische szenario ist doch die dateifreigabe auf einem nas eingebunden übers netzwerk auf einem windows-system. fängt sich das windows eine ransomware ein, kann sie zwar die daten auf dem nas verschlüsseln, aber hat keinen zugriff auf das os des nas, um auch die snapshots zu löschen. und genau in diesem szenario sind snapshots genau das richtige, da sie keine zusätzliche hardware benötigen und instant die änderungen der ransomware rückgängig machen können.

ich habe nicht gesagt, dass man kein klassisches backup machen sollte, denn snapshots sind kein allheilmittel.
 
  • Gefällt mir
Reaktionen: DFFVB und redjack1000
Ich erstelle halt beruflich Schutzbedarfsanalysen und kann da nicht über meinen Schatten springen. Schafft es die Schadsoftware ins Netzwerk, ist das komplette Netzwerk kompromittiert. Zumindest bei einem Heimnetz, da wird keine Hardware Firewall zwischen Client und Server sein, beide werden einfach an der Fritzbox hängen.
 
Schinken42 schrieb:
Zumindest bei einem Heimnetz, da wird keine Hardware Firewall zwischen Client und Server sein, beide werden einfach an der Fritzbox hängen.
Zum Vergrößern anklicken....
Schatten springen hin oder her. Aber dann solltest Du halt auch darlegen auf welchem Wege das geschieht. Einfach nur zu sagen "könnte sein" ist da ein bisschen dünn. Insbesondere wenn man sich angeblich beruflich damit auseinander setzt.
Also klar. Grundsätzlich ist das möglich und wir hatten ja schon in der Vergangenheit Vorfälle, wo dann direkt Server über fehlerhaft implementierte Protokolle angegriffen wurden usw.
Nur man muss dann halt auch gucken, wie wahrscheinlich ist, das das einen betrifft und welche Folgerungen man draus zieht.

Was soll denn der Heimanwender machen wenn er jetzt sein Netz als "übernommen" deklariert? Alles neu installieren? Beim Laptop kriegt er das vielleicht noch hin. Beim NAS wirds schon schwieriger. Bei der Fritz!Box?
Vor allem die Frage ob die Malware durch eine Neuinstallation überhaupt beseitigt wird und nicht durch irgendwelche UEFI-Bereiche oder gehackte Firmware und sonstwas dann doch noch am leben bleibt. Auch das sind eher unwahrscheinliche Szenarien. Aber wenn wir uns halt schon auf das Terrain von "man muss ja mit allem rechnen", dann müssen wir das auch konsequent zu Ende führen und das bedeutet das sämtliche Hardware auszutauschen ist. Das bedeutet das ich nicht mal mein Backup benutzen kann weil da könnte ja ne infizierte Datei drin sein, womit der ganze Affentanz von vorne beginnt.

Kurzum: Man kann sich gar nicht auf jedes erdenkliche Szenario Rücksicht nehmen weil es irgendwann unpraktikabel wird. Irgendwo muss man halt eine Grenze ziehen. Man kann sicher darüber diskutieren wo die genau verläuft. Aber einfach nur zu sagen "das komplette Netzwerk kompromittiert" ist da halt letztlich ne ziemlich wertlose Aussage.
 
Also ums kurz klarzustellen.

Ich Frage weil ich meine Daten gerne gesichert hab. Ebenso weil ich Fremddaten habe. Familie, Teils freunde etc.
Ebenso wird PW's über bitwarden gemanaged etc.
Da ich auch teilweise ETWAS für HW ausgebe soll es mir recht sein.
Ich nutze ne Stabile NAS an einem internen 10GB Netz ...hat auch nicht jeder und ist dennoch nichts besonderes. Aber macht auch Sinn bei dieser Datenmenge.

Ich hoste selber einen Privatshop und auch diverse Kommunikationsplattformen. WARUM? ganz einfach: weil ich die Mittel habe und mich Technik begeistert.

Einenguten Router etc habe ich noch nicht aber denke Ein 6600er syno mit mesh wird es in Zukunft auch machen. Da syno viel Virtualisieren kann dachte ich ich könnte den Netzwerktraffic gleich automatisieren wie zb. PRTG oder Nagios nutzes und dies gleich etwas triggern lassen welches den Router Upload blockt oder so oder zimindest für eine Zeitlang an eine IP.

Ich nutze auch Cloud umgebunge Wie zb M365 Weil mir mails wichtig sind aber noch nicht bereit bin auf die syno zu wechseln sofern ich diese nicht clustere.

Alles in allem Soll alles redundant sein und sicher. Und zwar zum JETZIGEN Zeitpunkt sowie wen ich mein Netzwerk upgrade.

Der Euro etc. (Franken) in meinem Fall reut mich nicht für Datensicherheit.
 
0x8100 schrieb:
snapshots schützen ebenso wie backups vor datenverlust durch versehentliches oder absichtliches löschen oder manipulieren.
Zum Vergrößern anklicken....
Ein Snapshot ist aber eine andere Technologie als ein klassisches Backup auf Datenebene! Kann man auch machen, dafür braucht man aber eben ein entsprechendes System, was mit Snapshots arbeiten kann, virtuelle Umgebungen, Container... Nichtsdestrotrotz ist es anders als eine Datensicherung, man braucht dafür spezielle Wiederherstellungswerkzeuge. Bei klassischen Backups nicht, da die Daten physisch vorliegen, und einfach nur kopiert werden können.
 
PHuV schrieb:
ein entsprechendes System, was mit Snapshots arbeiten kann, virtuelle Umgebungen, Container
Zum Vergrößern anklicken....
kann es sein, dass du da was verwechselst? snapshots in dateisystemen wie btrfs, zfs oder ceph haben rein gar nichts mit virtuellen umgebungen oder containern zu tun.
 
PHuV schrieb:
Nichtsdestrotrotz ist es anders als eine Datensicherung, man braucht dafür spezielle Wiederherstellungswerkzeuge. Bei klassischen Backups nicht, da die Daten physisch vorliegen, und einfach nur kopiert werden können.
Zum Vergrößern anklicken....
Das Snapshots und Backups - trotz Überschneidungen an mancher Stelle - verschiedene Dinge sind ist sicher unstrittig (mir ist auch nicht aufgefallen das hier im Thread jemand was anderes behauptet hat).
Das Backups leichter wieder herzustellen sind da es ja nur Daten bzw. Dateien sind die man nur kopieren müsse ... kann man so nicht als gesetzt annehmen. Das ist halt so wenn man die Dateien als Backup einfach nur kopiert. Oftmals ist es aber mehr. Allein wenn Du schon nur einen relativ dünnen Layer drüber legst wie tar oder cpio gilt das nicht mehr. Du brauchst zumindest ein "untar".
Und da gibts ja heutzutage unterschiedlichste Möglichkeiten. Von daher ist die Aussage zumindest ... mutig (oder ich hab sie nicht richtig verstanden.). :-)
 
0x8100 schrieb:
kann es sein, dass du da was verwechselst? snapshots in dateisystemen wie btrfs, zfs oder ceph haben rein gar nichts mit virtuellen umgebungen oder containern zu tun.
Zum Vergrößern anklicken....
Ja, hab ich vergessen, gibs ja auch mit Shadow Volume schon lange in Windows. Du brauchst hier trotzdem ein System, Tool, was genau das unterstützt. Du kannst hier nicht einfach recovery machen, so wie Du es per USB, HDD, SSD mit einer physischen Datei auf einem beliebigen Dateisystem machen kannst.
Ergänzung ()

andy_m4 schrieb:
Das Backups leichter wieder herzustellen sind da es ja nur Daten bzw. Dateien sind die man nur kopieren müsse ... kann man so nicht als gesetzt annehmen. Das ist halt so wenn man die Dateien als Backup einfach nur kopiert. Oftmals ist es aber mehr. Allein wenn Du schon nur einen relativ dünnen Layer drüber legst wie tar oder cpio gilt das nicht mehr. Du brauchst zumindest ein "untar".
Zum Vergrößern anklicken....
Darüber kann man sich jetzt wirklich streiten, ob gepackte Dateien ein weitere Layer sind oder nicht. Wobei das aus meiner Sicht systemunabhänigiger funktioniert als ein Snapshotsystem.
andy_m4 schrieb:
Und da gibts ja heutzutage unterschiedlichste Möglichkeiten. Von daher ist die Aussage zumindest ... mutig (oder ich hab sie nicht richtig verstanden.). :-)
Zum Vergrößern anklicken....
Erfahrung, praktische Erfahrung.

Stell Dir einfach vor, Du hast nur die Snapshots, speziell erstellte Images von einem beliebigen Image/Backupprogramm, aber das dafür verwendete Hostsystem oder die Software nicht mehr, oder sie kann mehr gestartet oder verwendet werden. Bei einer reinen Datensicherung ist das egal, die Daten können fast immer wieder herstellt werden. Snapshots arbeiten mit Datenblöcken in spezifischer Weise, sei es in Dateisystemen, VMs, Container, Datenbanken, die durch ein entsprechendes System wieder interpretiert werden müssen. Sie sind nicht unabhängig voneinander. Eine Textdatei, selbst eine zip, tar etc. Datei können jederzeit aber - egal durch Unix, Linux, Windows (wenn sie die Codierungen (ASCII, UTF8 etc.) beachten) unabhängig herstellst werden. Eine reine ASCII Testdatei von einem Quellcode kann überall wieder herstellt werden.

Aber das ist jetzt eine Philosophie wie Strategiefrage. Die Frage muß sich jeder stellen, wie wichtig sind die Daten, und wie unabhängig will man sie wieder herstellen können? Vergleichbar mit einer Datenbanksicherung. Vertraue ich dem Herstellerdump, oder erzeuge ich bei der Sicherung ein DDL, die ich auf fast jeder anderen SQL-Datenbank wieder herstellen kann.
 
Zuletzt bearbeitet:
PHuV schrieb:
Du brauchst hier trotzdem ein System, Tool, was genau das unterstützt. Du kannst hier nicht einfach recovery machen, so wie Du es per USB, HDD, SSD mit einer physischen Datei auf einem beliebigen Dateisystem machen kannst.
Zum Vergrößern anklicken....
der te hat ein ds1621xs+, das btrfs und snapshots unterstützt. und gerade mit btrfs ist der zugriff auf die snapshots sehr einfach: sie sind einfach im .snapshots verzeichnis verfügbar und auf die dateien kann ganz normal zugegriffen werden. das verhält sich nicht anders als wenn die daten auf einem anderen datenträger wären. siehe z.b. https://linuxhint.com/use-btrfs-snapshots/
 

Anhänge

  • 1667230023166.png
    1667230023166.png
    66,5 KB · Aufrufe: 165
  • Gefällt mir
Reaktionen: PHuV
PHuV schrieb:
Du brauchst hier trotzdem ein System, Tool, was genau das unterstützt. Du kannst hier nicht einfach recovery machen
Zum Vergrößern anklicken....
Es ging ja bei dem Beispiel gar nicht um "Festplatte ist kaputt also muss ich mein Backup raus kramen und die Datei zurückkopieren". Es ging eher um das Szenario: "Ich hab ausversehen meine Datei gelöscht, überschrieben, kaputt gemacht" und will jetzt ein Schritt zurück. In dem Szenario hab ich ja mein System selbst noch (und auch in intaktem Zustand) und damit auch alle Tools.
Das heißt, wenn ich jetzt irgendwie ein zfs snapshot ... (oder wie auch immer dafür die Entsprechung unter Windows aussieht) mache und dann geht mir meine Textdatei Datei kaputt dann kann ich ein zfs rollback ... machen. Mein zfs-Tool ist ja nicht dadurch mit kaputt das die Textdatei kaputt ist.

Ja. Das ist nicht systemunabhängig. Muss es aber gar nicht. Wie gesagt. Das ist ja kein Drop-In-Replacement für Backups (zumindest nicht in dieser praktizierten Form).
Ansonsten: Ja klar. Alles was Du zu Backups sagt ist richtig. Dem würde ich nicht widersprechen.

Wo wir uns noch mal drüber unterhalten können: Was ist, wenn ich jetzt diese Snapshots nehme und mit Hilfe dessen auch ein Backup basteln will. Zum Beispiel wenn ich die Snapshots serialisiere um die auf ein Backup-Medium zu schreiben usw. Da hab ich natürlich die von Dir angesprochenen Probleme.
 
andy_m4 schrieb:
Es ging ja bei dem Beispiel gar nicht um "Festplatte ist kaputt also muss ich mein Backup raus kramen und die Datei zurückkopieren". Es ging eher um das Szenario: "Ich hab ausversehen meine Datei gelöscht, überschrieben, kaputt gemacht" und will jetzt ein Schritt zurück. In dem Szenario hab ich ja mein System selbst noch (und auch in intaktem Zustand) und damit auch alle Tools.
Zum Vergrößern anklicken....
Wenn wir aber von einem kompromittierten System ausgehen, wo irgend eine Ransomware bereits mit einer Teilverschlüsselung und mehr begonnen hat, nützt diese Form der Wiederherstellung doch nichts mehr, und darauf will ich ja die ganze Zeit hinaus. Woher weiß ich denn, daß die bisherigen Mechanismen der Wiederherstellung so funktionieren wie bisher, oder nicht auch schon kompromittiert sind? Sprich, wir müssen dann davon ausgehen, daß in einem solchen Fall:
  • das System KOMPLETT neu aufgesetzt werden muß
  • Eventuelle Tools, Programme nicht mehr so funktionieren wie vorher
Da hast Du dann eventuell eine Wiederherstellung, die an deprecated Features etc. scheitert, obwohl Du wunderbar Deine Daten vorliegen hast, aber Du in nicht der Lage bist, genau die Software aus diesem Stand wieder herzustellen (Software-Medium verloren, Lizenz nicht mehr greifbar, Hardware zu alt oder zu neu...).

Tja, und dann stehst Du da, obwohl Du brav und ordentlich Deine Sicherungen mit den Tools erstellt hattest. Und nein, keine Paranoia meinerseits, bitter erlebte Praxis in zig Kundensituationen in vielen Konstellationen. Man mag nicht glauben, wie fahrlässig da teilweise umgegangen wird. Nicht umsonst haben dann einige Firmen sogar Spiegelsysteme aufgebaut, um genau dieses Problem im Falle eines Problemes zu umgehen.
Ergänzung ()

0x8100 schrieb:
der te hat ein ds1621xs+, das btrfs und snapshots unterstützt. und gerade mit btrfs ist der zugriff auf die snapshots sehr einfach:
Zum Vergrößern anklicken....
Danke, wieder was gelernt, kannte ich noch nicht. Dann ist es eine gute und einfache Sache, solange das System nicht kompromittiert ist. Sobald es aber genau das ist, ist es leider keine sichere Sache mehr, und ich würde nur noch den Backups vertrauen, die vor der Kompromittierung offline gelagert wurden.
 
PHuV schrieb:
Wenn wir aber von einem kompromittierten System ausgehen, wo irgend eine Ransomware bereits mit einer Teilverschlüsselung und mehr begonnen hat, nützt diese Form der Wiederherstellung doch nichts mehr
Zum Vergrößern anklicken....
Das war aber nicht das Szenario (jedenfalls nicht so wie ich es verstanden hab).

Das Szenario war: Du hast ein Laptop mit Windows (or whatever) und Deine Dateien liegen auf einem NAS welches über SMB/CIFS. Dein Laptop kriegt jetzt ein Ransomewarbefall und beschädigt/verschlüsselt Deine Dateien. Also auch die auf dem NAS, auf die Du via SMB/CIFS zugreifst.

Ein lokaler Snapshot hilft mir hier nicht. Da hast Du völlig recht. Ich muss davon ausgehen das der auch hinüber ist. Aber nicht, wenn der Snapshot auf dem NAS angelegt wurde (weil da ein btrfs, ZFS, whatever läuft).

Du kannst also hingehen und Deinen Laptop neu installieren (oder ein Ersatz gerät nehmen). Auf dem NAS den Snapshot "rollbacken" und hast damit den alten Stand wieder.

Wovon Du redest das ist Backup. Und wie gesagt. Zwischen Snapshots und Backups da gibts sicherlich Überschneidungen, sind aber in ihrer Anwendung und dem was sie leisten sollen unterschiedliche Dinge. Deshalb entbindet mich das auch nicht davon ein Backup zu haben.

PHuV schrieb:
Danke, wieder was gelernt, kannte ich noch nicht.
Zum Vergrößern anklicken....
Gibts in der Form ja auch bei ZFS. Da ist es dann das hidden directory .zfs.
(und das ist auch wirklich "hidden" weil Du es selbst mit einem ls -a nicht siehst).
 
andy_m4 schrieb:
Das war aber nicht das Szenario (jedenfalls nicht so wie ich es verstanden hab).

Das Szenario war: Du hast ein Laptop mit Windows (or whatever) und Deine Dateien liegen auf einem NAS welches über SMB/CIFS. Dein Laptop kriegt jetzt ein Ransomewarbefall und beschädigt/verschlüsselt Deine Dateien. Also auch die auf dem NAS, auf die Du via SMB/CIFS zugreifst.
Zum Vergrößern anklicken....
Ja, eine Möglichkeit. Aber ich nenne mal Wanna Cry Attacke, die durch ein Gerät ein gesamtes Netzwerk befallen kann, oder jede andere beliebige Sicherheitslücke wie SMB1 usw. Sobald ein Gerät im Netz kompromittiert ist, sollte man davon ausgehen, daß das Netz selbst mit seiner Infrastruktur betroffen ist.

Hier war doch erst ein Kollege, der seine Daten auf einem QNAP NAS mit Schadsoftware verlor.
Das muß hier der TS nun selbst entscheiden, wie weit er den Aufwand treiben will.
 
Zuletzt bearbeitet:
PHuV schrieb:
Ja, eine Möglichkeit.
Zum Vergrößern anklicken....
Wie schon gesagt. Es soll mich auch nur vor diesem Szenario beschützen und nicht Backup ersetzen. Und klar kann ich auch einfach nur Backups machen. Was Snapshots so attraktiv macht ist, das sie einfach und schnell zu erstellen sind. Ich kann quasi im Tage- oder sogar Halbstundentakt (oder noch enger) Snapshots machen, so das im Fall des Falles mir von meiner Arbeit nur die letzte Stunde fehlt was schon mal ein Vorteil dem gegenüber wäre nur Backups zu haben die ich vielleicht nur einmal am Tag (oder noch seltener!) mache.

Insofern soll es Backups nicht ersetzen, sondern ergänzen. Und dort kann ich ja dann auch das alles machen und beachten, was Du sagtest.

PHuV schrieb:
Aber ich nenne mal Wanna Cry Attacke, die durch ein Gerät ein gesamtes Netzwerk befallen kann, oder jede andere beliebige Sicherheitslücke wie SMB1 usw. Sobald ein Gerät im Netz kompromittiert ist, sollte man davon ausgehen, daß das Netz selbst mit seiner Infrastruktur betroffen ist.
Zum Vergrößern anklicken....
Ja. Dazu hab ich ja auch schon mal im Beitrag #28 Stellung bezogen. Klar. Man sollte Backup haben (was auch nie wirklich bestritten wurde). Aber was dann ... ? Konsequent zuende gedacht hilft Dir ja dann nicht mal mehr ein Backup, weil das könnte theoretisch ja auch verseucht sein weshalb Du es gar nicht zurück spielen darfst. Irgendwo musst Du so oder so Kompromisse eingehen. Wie gesagt, man kann darüber streiten wo und wann man da ne Grenze zieht. Aber einfach nur zu sagen "alles verseucht" gibt halt keine sinnvollen/praktikablen Handlungsoptionen.
 
Du musst dich einloggen oder registrieren, um hier zu antworten.

Ähnliche Themen

K
Win 10, Ransomware-Schutz, Überwachter Ordnerzugriff deaktivieren?
Antworten
7
Aufrufe
789
BFF
BFF
S
Angriff Ransomware Netsupport
Antworten
13
Aufrufe
1.937
chrigu
chrigu
B
ransomware lage 2023 (avira popups werbung)
2
Antworten
21
Aufrufe
1.507
BeBur
B
stummerwinter
USB-Stick unte rLinux Scannen nach Ransomware
Antworten
2
Aufrufe
1.041
stummerwinter
stummerwinter
P
Ransomware plus überwachter Ordnerzugriff
Antworten
7
Aufrufe
1.206
Dr. McCoy
Dr. McCoy
Zurück
Oben

Willkommen auf ComputerBase!

Mit Werbung weiterlesen

Besuche ComputerBase wie gewohnt mit Werbung und Tracking. Die Zustimmung ist jederzeit widerrufbar.

Details im Privacy Center und in der Liste unserer Partner. Ein Widerruf ist möglich in der Datenschutzerklärung.

… oder ComputerBase Pro bestellen

Nutze ComputerBase ohne Werbebanner, Video-Ads und Werbetracking schon für 4 €/Monat oder 36 €/Jahr.

Mehr zu ComputerBase Pro

Bereits Pro-Nutzer? Hier anmelden.

Tracking: Wir und unsere 160 Partner verarbeiten personenbezogene Daten, indem wir mit auf Ihrem Gerät gespeicherten Informationen (z. B. eindeutige Kennungen in Cookies) ein Nutzungsprofil erstellen, um z. B. Anzeigen zu personalisieren. Verarbeitungszwecke: Genaue Standortdaten und Abfrage von Geräteeigenschaften zur Identifikation, Informationen auf einem Gerät speichern und/oder abrufen, Personalisierte Anzeigen und Inhalte, Anzeigen- und Inhaltsmessungen, Erkenntnisse über Zielgruppen und Produktentwicklungen.

Impressum Kontakt Datenschutz