Domanda:
I servizi di cloud storage sono una buona strategia per proteggersi dagli attacchi ransomware?
Oscar Foley
2016-04-18 14:20:52 UTC
view on stackexchange narkive permalink

Ho letto molto qui sugli attacchi ransomware e mi chiedo se la mia strategia per proteggermi sia valida o meno.

Ho 10 GB di dati personali e 90 GB di foto e video. Li ho in D: \ drive in due cartelle separate. La cartella dei dati personali è sincronizzata con Google Drive. Le foto vengono sincronizzate con uno strumento simile (Hubic). In questo modo ogni nuova foto che copio su D: \ drive viene presto inviata a Cloud Storage. Se il mio disco rigido muore o viene rubato, ho ancora la mia copia online.

Ma nel caso in cui dovessi subire un attacco ransomware, penso che potrebbe non andare bene perché i dati potrebbero essere cancellati / crittografati anche Google Drive, quindi la mia domanda è:

  • Il mio metodo per sincronizzare i miei dati con i servizi di archiviazione online (Google Drive, Dropbox, ecc.) È un buon modo per proteggermi dal ransomware?

  • Esiste una strategia di backup migliore per assicurarmi di poter eseguire il ripristino da Ransomware?

Nota ​​strong >: C'è una domanda simile qui, ma si concentra sul fatto che il fornitore di spazio di archiviazione online possa essere considerato attendibile o meno. Nel mio caso scelgo di fidarmi di loro, quindi, dato un attacco ransomware riuscito, avrei un backup per ignorare le richieste di ransomware.

Basta creare un repository Git "MyComputer" ed eseguire il commit ogni volta che vai a dormire.
Ovviamente sto facendo del mio meglio per evitare che ciò accada.Questa domanda riguarda una seconda linea di difesa ...
Oltre a cercare di istruirli, la mia soluzione di backup per tutta la famiglia si basa su rsync giornaliero su un server Linux con btrfs, quindi anche nel caso vengano infettati, al massimo il lavoro del giorno corrente è perso.
@TomášZato Teoricamente un'idea fantastica, ma: perderai i permessi, occuperai molto spazio, il tempo di commit durerà anni e git è davvero pessimo con file binari di grandi dimensioni _specialmente_ quando ce ne sono molti.Lo so perché volevo.
@Sebb Francamente aggiungerei la cartella dei miei film a `.gitignore`, lo stesso con il software - può essere infettato comunque, quindi perché eseguire il backup.L'unico problema potrebbe essere un database: è un file di grandi dimensioni che cambia regolarmente.Ma ci sono altre soluzioni per il backup dei database, quindi vorrei anche `.gitignore`.La mia proposta ovviamente non è la soluzione ideale, ma probabilmente funzionerebbe abbastanza bene su documenti e foto.Quanto spesso modifichi le tue foto?
Ogni risposta non sarebbe diversa per ogni provider di archiviazione online?Se sono "al sicuro" dal ransomware e in che misura dipenderà sicuramente dalle loro politiche di backup?
@TomášZato Ma se lo modifichi a malapena, puoi anche fare due copie offline senza perdite.E quando devi comunque distribuire diverse soluzioni di backup, puoi semplicemente usarne una destinata ai backup dell'intero PC invece di piccoli file di testo.Personalmente ho il 95% del mio codice (che è fondamentalmente quello che faccio) sul mio server Git o GitHub, quindi lo sto _kinda_ usando, ma non funziona come tuttofare per il backup delle macchine.Io uso [rsnapshot] (http://rsnapshot.org/), nel caso in cui ti chiedi e / o stai cercando una soluzione simile senza gli svantaggi.
Se utilizzi un repository git, sarai comunque vulnerabile a un ransomware super intelligente che ha crittografato la tua cartella .git e ha anche eseguito un push git distruttivo.Dal momento che anche l'archiviazione cloud spesso esegue la versione dei file, potrebbe non essere migliore, davvero.
@TomášZato Il fatto che tu stia discutendo per escludere la maggior parte dei tuoi file importanti dal repository git rafforza solo l'idea che git non è la scelta ideale per i backup.
@JustinLardinois Video e software non sono una parte importante dei miei file.I documenti sono.
@TomášZato Due problemi con questo.1) Quando si ripristina un backup, voglio che sia il più indolore possibile e non mi preoccupo di aver perso dei documenti.2) Per molte persone, video e software * sono * importanti per loro.Non ho intenzione di archiviare tutti i video della mia famiglia in git.E comunque, perché dovrei farlo quando ci sono vere soluzioni di backup là fuori che non hanno nessuno degli svantaggi?
Ragazzi, lo state prendendo troppo sul serio.Il primo commento non intendeva seriamente, se lo fosse, lo pubblicherei come risposta.
L'ho fatto alcuni anni fa: [Comparison of Cloud-Storage Backup Solutions] (https://docs.google.com/spreadsheets/d/1i51uwM0J6A0ieDPd5xYzXvvVHmWLSENZovI_jHIbfIY/edit?usp=sharing).Sono sicuro che alcuni di essi sono obsoleti _ (soprattutto i prezzi) _ ma dovrebbero comunque essere utili.Ho finito per andare con SpiderOak.
Puoi sempre usare una "nebbia", una nuvola che è in casa tua :) Procurati un server locale ed esegui il backup su LAN ad esso.Veloce e indolore.In alternativa, scrivi uno script di backup e usa un disco esterno.
Nessun backup automatico è una buona strategia: quando il ransomware crittografa i file, i backup verranno sovrascritti dalle versioni crittografate.
Se stai cercando qualcosa come git ma senza svantaggi, c'è [bup] (https://github.com/bup/bup)
Quindici risposte:
#1
+43
Jakub
2016-04-18 14:51:00 UTC
view on stackexchange narkive permalink

Non sono sicuro di Google Drive, ma Dropbox fornisce un modo per recuperare le versioni precedenti dei file, una funzione che non sarebbe influenzata dal ransomware, poiché si basa su una copia di file sui server Dropbox. Quindi sarebbe sicuramente un modo per proteggere i tuoi dati.

Tuttavia, il ripristino di tutto tramite la connessione Internet è un processo relativamente lento. Personalmente, userei un dispositivo NAS, ma non lo mapperei come un'unità di rete (perché quelli possono e saranno influenzati se un ransomware viene attivato sul tuo computer). Lo userei tramite FTP / SFTP, probabilmente con uno script che sincronizza i file su base regolare. In questo modo hai i file localmente, il che rende il ripristino da un attacco meno problematico. Probabilmente è anche più economico.

Inoltre, se preferisci un'esperienza simile a Dropbox, potresti provare ownCloud sul tuo dispositivo: mantiene anche le versioni precedenti del file, permettendoti di tornare indietro nel caso di file danneggiati o corrotti. Tieni presente che l'archiviazione di più versioni precedenti di un file occupa spazio sui dischi del NAS.

La sincronizzazione regolare tramite SFTP non corromperà il backup se i file originali vengono infettati prima della sincronizzazione regolare?
Dipende dalla configurazione - nella maggior parte delle configurazioni di base (sostituendo le vecchie versioni con quelle nuove) - sì, i file verrebbero danneggiati.Tuttavia, puoi configurare la sincronizzazione in altri modi, ad es.per chiederti di confermare la sincronizzazione quando vengono modificati molti file (l'attacco ransomware di solito modifica migliaia di file, il che è abbastanza evidente) o per implementare la rotazione della versione.
Per essere onesti ho chiesto in generale soluzioni di archiviazione online e successivamente ho utilizzato come esempio quelle che sto utilizzando (Google Drive e Hubic) ...
Ed è per questo che sono piuttosto disposto a consigliare di eseguire ownCloud sull'hardware di OP.Ciò offre la libertà di configurarlo (ad esempio assicurandosi che il controllo delle versioni non smetta improvvisamente di funzionare ad un certo punto).I NAS che supportano ownCloud (o soluzioni proprietarie, come ad esempio Cloud Station di Synology) non sono eccessivamente costosi e praticamente tutti i dispositivi multi-disco supportano RAID.Garantisce inoltre l'affidabilità del fornitore di servizi, dal momento che diventi il tuo fornitore di servizi.
BTW ho dovuto recuperare alcuni file crittografati da Dropbox per un amico.Quindi posso confermare che 1) il ransomware * fa * crittografa le cartelle di Dropbox ma 2) Il sistema di revisione di Dropbox consente di ripristinare facilmente tutte queste modifiche.Nota tuttavia che Dropbox non è semplicemente un filesystem condiviso.Fornisce API abbastanza estese e un ransomware sensibile alla casella personale * potrebbe * essere in grado di rimuovere vecchie revisioni utilizzando l'API.Attualmente sembra che il ransomware non tratti le cartelle di Dropbox in modo speciale ed è banale annullare le modifiche.
Non c'è un limite a quanto Dropbox recupererà (gratuitamente)?
Sì, Dropbox limita il tempo durante il quale puoi recuperare i tuoi file (30 giorni per la versione gratuita, un anno per Pro "Cronologia versioni estesa" e tempo illimitato per le aziende. Per quanto riguarda il numero di vecchie versioni memorizzate, non riesco a sembrareper trovare informazioni in merito. La cosa buona è che le versioni precedenti non contano ai fini della quota di archiviazione.
Il ransomware EVOLVERÀ e introdurrà più vettori di attacco (come abbiamo visto nel 2015-2016), hai ancora un singolo punto di errore: una ricetta per il disastro.
Cordiali saluti, Google Drive conserva anche [revisioni precedenti dei file] (https://support.google.com/drive/answer/2409045?hl=it) (inclusi file non Google).Tuttavia, non è chiaro per quanto tempo vengono mantenute quelle revisioni precedenti.[Another answer] (https://support.google.com/docs/answer/190843?hl=it) afferma `Le revisioni del tuo file potrebbero occasionalmente essere unite per risparmiare spazio di archiviazione.Ciò può accadere a causa dell'età del file o delle grandi dimensioni di alcune revisioni
"Personalmente, utilizzerei un dispositivo NAS, ma non lo mapperei come un'unità di rete (perché questi possono e saranno influenzati se un ransomware viene attivato sul tuo computer)" Nota che sono disponibili dispositivi NAS che creeranno automaticamenteistantanee, in modo da poter tornare a una precedente anche se i contenuti delle unità di rete vengono cancellati.
Non è vero che con Google Drive devi utilizzare l'interfaccia web per ripristinare manualmente un file alla volta dalla sua versione precedente?Può essere una seccatura per le persone che hanno migliaia di file.
Un NAS "di sola scrittura", che può avere solo versioni di file cancellate da esso se viene premuto un pulsante fisico, sarebbe una soluzione.
Sebbene non sia impossibile, l'utilizzo dell'API Dropbox * richiede * 1) che l'applicazione sia registrata come app con Dropbox e 2) autorizzi l'app a utilizzare le cose.Quindi il ransomware dovrebbe autenticarsi mentre tu accedi alla casella personale e gestisci il ballo OAuth.Sicuramente possibile, ma non sembra un frutto molto basso, per quanto riguarda.
Il tempo impiegato per il ripristino da un servizio remoto è rilevante solo quando è effettivamente necessario eseguire il ripristino e questo dovrebbe (si spera) essere abbastanza raro da essere tollerabile.Ha anche il vantaggio di proteggerti da altri rischi, come l'edificio in cui il tuo computer e il NAS stanno bruciando.
#2
+21
Thibault D.
2016-04-18 15:40:57 UTC
view on stackexchange narkive permalink

Soluzione semplice, economica e relativamente scalabile
(Anche se so che non ha nulla a che fare con l'archiviazione online)

I ho due unità USB che ruoto regolarmente (puoi aggiungere un promemoria nel tuo calendario se hai paura di farlo). Puoi utilizzare uno dei tanti strumenti di sincronizzazione per scegliere quali cartelle devono essere copiate, io uso Allway Sync.

Uno dei drive è sempre offline . Potresti persino spostarlo in un'altra posizione per rendere i tuoi dati resistenti ai ladri che visitano la tua casa o al fuoco o altro.

Puoi anche crittografare l'unità se non vuoi che altre persone manomettano il tuo backup. Uso VeraCrypt.

Più spesso ruoti le unità, meno dati perderai in caso di infezione da ransomeware. Ma ovviamente questo è lo svantaggio di questa soluzione, che devi ruotare manualmente le tue unità ogni tanto.
Ma è una soluzione economica, flessibile ed efficace contro molti problemi che potrebbero verificarsi.

Una soluzione semplice

Per me, è importante mantenere la soluzione semplice in modo che non possa essere utilizzata in modo improprio. Ad esempio, la soluzione NAS funzionerà solo se nessuno monta mai le unità. Posso facilmente vedere come questo potrebbe fallire con utenti inesperti che non sanno esattamente cosa fanno.
Pianifica il giorno in cui ti siedi e cerchi di risolvere un problema. Una soluzione è montare le unità e ti sei completamente dimenticato dello schema di backup che hai impostato diversi mesi fa.

"Una delle unità è sempre offline".Quindi i programmatori di ransomware prenderebbero un'altra strategia e chiederanno il riscatto dopo pochi giorni (entrambi i cooldisk infettati).Allora cosa?cosa succede se il disco freddo si danneggia o manca?Il backup in linea è una buona soluzione, ma solo per chi è appropriato il rapporto tra dati sensibili / larghezza di banda.
Il ransomware che ha colpito Mac OS X tramite Transmission ha aspettato alcuni giorni prima di iniziare a crittografare.Ma crittografare e aspettare qualche giorno prima di chiedere il riscatto?Senza che ti accorgi che non puoi più aprire i tuoi file?Presumo sia difficile mantenere segreto il fatto che i file siano stati crittografati per molti giorni.Forse sto sbagliando.In ogni caso, questa è una soluzione flessibile e nessuno vieta di avere più unità con diversi ritardi di rotazione.Come ogni soluzione, questa non è infallibile al 100% ma puoi sempre renderla più o meno resistente.
Dovresti pensare in anticipo.Se applicano quella versione, possono semplicemente mostrare i tuoi file prima di rimuovere la chiave dal tuo computer (attualmente non la ottieni sul tuo PC, allora lo farebbero).Tra le soluzioni discusse, l'archiviazione online e il controllo delle versioni sono buoni ma, come hai detto, ognuna ha i propri pro e contro.Non mi fido di nessuna soluzione per un PC infetto.Quindi la prima scelta è evitare l'infezione.
@ThibaultD .: se il ransomware ha implementato la crittografia utilizzando una crittografia a livello di file system, come eCryptfs, potrebbe essere possibile non notare che il file è crittografato per un lungo periodo, fino a quando il ransomware non scarta la chiave di crittografia o non si riavvia la macchinapoiché il tuo filesystem sembra ancora funzionare normalmente.
@LieRyan è stato dimostrato che qualche ransomware in circolazione lo fa?Il problema immediato è che mentre il ransomware è in modalità invisibile, la chiave di decrittazione è locale e può essere afferrata da qualcuno con una protezione di base in atto, sventando il piano.Le strategie ransomware di successo fino ad oggi coinvolgono tutte la crittografia a chiave pubblica unidirezionale in modo che la chiave privata non sia mai vicina all'utente e possa sicuramente essere riscattata.
Se ruoti i dischi "hot-swap", probabilmente ne avrai un terzo che si memorizza per intervalli più lunghi e risiede fuori sede.
Inoltre è possibile eseguire backup incrementali / differenziali, in modo da poter ancora recuperare tutti i file di cui è stato eseguito il backup mentre erano già crittografati, tornando un po 'più indietro nella cronologia.
@JeffMeden sì, è successo, anche se focalizzato sui server.Il ransomware ha fornito per qualche tempo una vista decrittografata del file system / database, comunicando con un C&C che ha fornito il materiale chiave per la decrittografia.Dopo che è trascorso un po 'di tempo e si prevede che i backup siano stati ruotati, la visualizzazione viene disattivata.Quando la vittima va ai suoi backup, scopre che l'infezione è avvenuta mesi fa.
Crittografia per proteggere dalla crittografia.Mi piace.
@WillS Volevo principalmente suggerire una soluzione semplice e la crittografia non fa parte dello schema contro il ransomware in questa soluzione.Il punto di forza di questo schema è la copia offline, anche se nei commenti è stato sostenuto se sia davvero sicuro.La crittografia è facoltativa qui e ha lo scopo di affrontare il fatto che avrai backup dei tuoi dati su un supporto molto insicuro (in un modo che altre persone potrebbero accedervi facilmente).
@ Ángel qual era il nome del ransomware?E come si fa a non notare il tanking delle prestazioni del database quando tutto l'IO passa attraverso la decrittografia della CPU?
@Jeff Meden, Ángel probabilmente sta parlando di questo incidente: (http://www.theregister.co.uk/2015/02/03/web_ransomware_scum_now_lay_waste_to_your_backups/).Questo, tuttavia, non era un ransomware "normale", ma un attacco molto mirato basato su una password FTP rubata e una configurazione specifica, non solo qualcuno che apriva un allegato di posta elettronica
Grazie per averlo scoperto @Maxim, Non sono riuscito a trovare una notizia per questo quando ho commentato.Non è il _usual_ ransomware, poiché mirava ai server web.Devo notare, tuttavia, che potrebbe essersi diffuso anche attraverso una vulnerabilità CMS (recentemente ci sono stati alcuni "ransomware del sito Web]" leggeri "(https://blog.sucuri.net/2016/01/ransomware-strikes-websites.html) infezioni utilizzando CVE con esecuzione remota)
@Xaqron La maggior parte delle applicazioni di backup non dispone di mezzi per verificare l'integrità del backup?Potresti semplicemente usare una macchina separata (forse sempre scollegata da una rete) per verificare l'integrità del disco caldo appena prima di ruotarlo.
#3
+15
SilverlightFox
2016-04-18 18:27:38 UTC
view on stackexchange narkive permalink

Nel momento in cui scrivo, Dropbox sarebbe un buon modo per mitigare gli attacchi ransomware perché una cronologia delle versioni di 30 giorni delle modifiche ai file è conservata sui loro server (anche nel livello gratuito).

Questo, a seconda del volume di dati, richiede una connessione Internet veloce sia per il caricamento che per il download affinché sia ​​efficace.

Tuttavia, (grande avvertimento) non ci vorrebbe molto per nuovo ransomware da progettare che acquisisce il token di sessione da Dropbox.com o che installa un keylogger per acquisire la password del provider di servizi cloud e quindi procede alla selezione dell'opzione "Elimina definitivamente", rendendo i file irrecuperabili.

Lo stesso vale per qualsiasi opzione di archiviazione online, mappata o meno come unità, poiché il ransomware potrebbe essere facilmente progettato per cercare condivisioni SMB sulla rete locale e crittografare i file anche lì. L'unica vera opzione per il backup online sarebbe se avessi un'opzione di sola scrittura in cui il protocollo di rete consentirà nuovi file, modifiche ed eliminazioni solo con il controllo completo della versione e nessun modo possibile per disabilitare il controllo della versione o eliminare definitivamente le copie precedenti.

Questo quindi lascia i backup offline come opzione finale. Questi dovrebbero essere avviati manualmente su un supporto rimovibile, che sarebbe meglio archiviare crittografati fuori sede per la protezione da minacce non malware (ad es. Incendio o furto).

"Lo stesso vale per qualsiasi opzione di archiviazione online, mappata o meno come unità, poiché il ransomware potrebbe essere facilmente progettato per cercare condivisioni SMB sulla rete locale e crittografare i file anche lì." Il mio file server di rete locale utilizza un file system ZFS che accettaistantanee quotidiane e le elimina dopo una settimana, quindi a meno che non noto il ransomware per un'intera settimana posso semplicemente ripristinarlo.Non so se ci sono sistemi di archiviazione commerciali che lo fanno, maSo che alcuni sono basati su ZFS e questa è un'aggiunta piuttosto semplice, quindi sarei sorpreso se almeno uno non potesse farlo.
Una rapida ricerca suggerisce che, sì, questa funzione è prontamente disponibile su server NAS commerciali a basso costo (ad esempio [quello descritto in questo articolo di base noto] (http://kb.netgear.com/app/answers/detail/a_id/ 23353 / ~ / what-are-basic-snapshot-concepts-che-ho-bisogno-di-capire-prima-di-operare-my)).
La mia frase successiva ha coperto questo scenario: finché il protocollo di rete non consente l'eliminazione della versione, allora stai bene.
Ah, sì, pensavo stessi parlando di configurazioni in cui una volta che un file è stato scritto, può essere modificato, piuttosto che scattare un'istantanea dietro le quinte.
#4
+15
user1717828
2016-04-18 22:22:14 UTC
view on stackexchange narkive permalink

Quale strategia di backup consiglieresti per evitare il ransomware?

Archiviazione di sola lettura

La soluzione più semplice copre il 90% della conservazione dei dati di una persona media esigenze: memorizza i tuoi vecchi dati in un formato di sola lettura. Quanti dei tuoi dati sono vecchi dati fiscali, risorse di scuole / lavori precedenti, foto di vacanze o qualsiasi altro tipo di informazione che non cambierà ?

Un comune DVD-R memorizza quasi 5 GB per pochi dollari. Oltre a memorizzare le tue informazioni su Dropbox o un USB esterno, getta le cose dell'anno scorso su un disco il 1 ° gennaio e Sharpie l'anno in cima. Continuare a eseguire regolarmente il backup delle unità in qualsiasi modo sia conveniente, ma un "checkpoint" fisico in uno schedario non è mai una brutta cosa.

Per i professionisti responsabili di grandi quantità di dati aziendali, apparentemente, L'archiviazione ottica da 1 TB è in arrivo, sebbene siano ancora necessari frequenti backup di rete quando anche pochi giorni di dati (sviluppo del codice, contratti aziendali, servizi fotografici professionali) potrebbero valere un sacco di soldi.

Tieni presente che dovresti controllare periodicamente i backup ottici per assicurarti che funzionino ancora.Il DVD-R ha una durata di vita teorica che si aggira intorno alle decine di anni, ma a meno che non venga mantenuto in condizioni ottimali potrebbe non durare neanche lontanamente così a lungo.
Il prezzo per un singolo disco DVD-R da 4,7 (?) GB dovrebbe essere più vicino a 25 centesimi USA.Un disco BluRay -R (25 GB o 50 GB DL?) Dovrebbe costare pochi dollari
@Xen2050, Sono abbastanza sicuro che costa più di— [OHH SHHH-NEVERMIND] (http://www.amazon.com/dp/B00081A2KY).
si possono ottenere dvd "M-Disc" che si presume durino molto, molto più a lungo di quelli standard, che come dice @Jules non sono così affidabili.http://www.extremetech.com/computing/92286-m-disc-is-a-dvd-made-out-of-stone-that-lasts-1000-years Sono scrivibili almeno in alcuni masterizzatori standard.
@Jules, Immagino che dovresti ri-masterizzare periodicamente i dischi?Controllare per vedere se hai perso i dati significa che è già troppo tardi, giusto?
@JPhi1618, Meh, questa è una soluzione di livello consumer a una domanda di livello consumer, come specificato nella prima frase (utilizzo professionale affrontato alla fine).* Controllare periodicamente i backup *?In realtà, i consumatori non hanno tempo per questo.Se è così importante dove vuoi che duri 100 anni senza essere utilizzato, paga per [metterlo su cassetta] (http://www.economist.com/blogs/babbage/2013/09/information-storage), altrimenti bastaaffrontare un compromesso conveniente e non ottimale.
#5
+14
Noir
2016-04-19 14:12:34 UTC
view on stackexchange narkive permalink

È piuttosto spaventoso che solo una risposta qui menzioni la verifica dei backup, quindi ho sentito il bisogno di aggiungere questa risposta:

Qualunque cosa tu scelga come strategia di backup: I tuoi backup non valgono assolutamente nulla se non disponi di un meccanismo di verifica funzionante e ben testato per controllare l'integrità dei file.

È solo questione di tempo prima che il ransomware lo farà tentare di decrittografare i file al volo quando si tenta di accedervi. Dopo un certo periodo di tempo, il malware eliminerà la copia locale delle chiavi e renderà inutili molti o la maggior parte dei backup. Ci sono già attacchi come questo segnalati su database di server web.

Nonostante ciò: personalmente non caricherei mai dati sensibili su alcun servizio cloud senza crittografarli in anticipo. (Sì, è un po 'ironico) Ricorda: "cloud" è solo un sinonimo di "un altro server".

Articolo spaventoso!Non vorrei che i backup venissero crittografati in modo trasparente.Quindi, per uso domestico, immagino che sarebbe meglio eseguire il software di backup da un supporto di avvio separato e, se possibile, controllare l'integrità dei file inclusi in qualsiasi backup incrementale, come mitigazione.Anche se immagino che se il ransomware crittografa solo quando scrivi comunque, probabilmente lo perderesti ...
Non c'è niente di sbagliato nella crittografia, purché ** tu ** disponga della chiave di decrittazione.In effetti, direi come te che la crittografia prima del caricamento nel cloud dovrebbe essere l'impostazione predefinita, da disabilitare solo in casi specifici in cui la crittografia locale semplicemente non è fattibile per il caso d'uso in questione.
@MichaelKjörling come fa Mozy (e con la tua chiave) - ma direi che non vuoi solo la crittografia ma anche la delta-ficazione e il controllo delle versioni storico, la minor quantità di dati inviati al cloud è una buona cosa per tutti (e facilmente sconfiggeMitM attacca una volta caricati i dati iniziali, se tutto ciò che ottengono sono pochi diff binari)
#6
+8
Enis P. Aginić
2016-04-18 17:06:40 UTC
view on stackexchange narkive permalink

No. Il backup su cloud di livello consumer non è una soluzione efficace. In effetti nessuna singola soluzione proteggerà i tuoi dati, devi mescolarli un po '.

Per darti una buona risposta dovrei conoscere le tue abitudini, i modelli di utilizzo e molti altri dettagli, ma questa è la mia ipotesi migliore basata su un proprietario medio di una casa o di una piccola impresa con cui lavoro di solito.

Quindi, per eseguire il backup o per essere precisi l'archiviazione.

È molto domanda complessa e dovresti decidere quanto puoi permetterti di perdere. Fornire una sicurezza dei dati del 99,9% è un affare MOLTO costoso (si pensi allo storage ridondante distribuito geograficamente senza un singolo punto di errore). I dati possono perdersi in molti più modi di quanto pensi, non solo con il ransomware. Ad esempio, DVD o BR-D dureranno solo pochi anni, l'unità flash sarà morta in circa 7 anni, il tipico disco rigido non è utilizzabile dopo 5 anni, il formato potrebbe essere deprecato, l'interfaccia potrebbe diventare obsoleta, i dischi rigidi potrebbero commettere errori irreversibili (e in effetti lo fanno), il tuo backup potrebbe essere ucciso da fulmini, incendi, inondazioni, potrebbe essere rubato, potresti perdere la tua password se crittografa (e dovresti) ... Immagina uno scenario da incubo in cui hai Archivio NTBackup su un disco rigido IDE guasto - divertente.

Quindi alcune soluzioni:

Prima di tutto, monitora il tuo filesystem. L'attacco ransomware creerà enormi cambiamenti al filesystem e saprai subito che c'è un problema.

OPZIONE 1: vai con M-Disc. 100 GB di dati non sono molti, quindi puoi farne due copie su M-Disc BDXL da 100 GB. Mettine uno in un cassetto di casa, mettine uno in una cassetta di sicurezza della banca e sei bravo. Per millenni, dicono. Tieni presente che puoi ancora perdere i tuoi dati. È un supporto di sola lettura, quindi utilizzarlo su un computer infetto non è un problema. Tra l'archiviazione utilizza una scheda SD di dimensioni standard (ad esempio 128 GB), sposta l'interruttore per leggere solo per l'uso quotidiano e per leggere-scrivere durante il backup. Tra l'archiviazione, usa un DVD finché non ne hai abbastanza Archivio M-Disc (prestare attenzione alla longevità del DVD). Non sono affiliato in alcun modo a M-Disc, ma ho una buona esperienza nell'usarlo.

Hanno anche la soluzione Dropbox + M-Disc sul loro sito web, quindi puoi usare Dropbox per convenienza e ricevi il tuo archivio.

OPZIONE 1.1 - Come sopra, ma usando un normale disco Blu-Ray. E 'più economico ma molto più rischioso. Assicurati di masterizzare nuovamente il tuo archivio una volta all'anno.

OPZIONE 2 - configura un piccolo file server (Linux) e monta la sua memoria per comodità, ma assicurati che stia controllando le versioni dei suoi backup su un archivio non accessibile dai tuoi computer client (NAS o Cloud o altro). Quindi, se qualcosa va storto, l'archiviazione montata verrà crittografata, ma puoi sempre tornare indietro poiché il server stesso non è infetto. Firewall per non consentire l'accesso remoto in quanto futuri ransomware più avanzati potrebbero essere in grado di sfruttarlo rubando le credenziali da un client infetto. Assicurati di avere sempre più di una copia dei tuoi dati, considera la longevità del supporto utilizzato e sostituisci i dischi rigidi al primo segno di problemi.

OPZIONE 3: chiedi a un tecnico IT credibile di configurare un soluzione su misura per le tue esigenze in modo da ottenere accesso immediato ai tuoi dati e archivio (quasi) a prova di proiettile. So che le persone vengono qui per soluzioni fai-da-te, ma la protezione dei dati è una scienza, non qualcosa che puoi riassumere in una singola pagina e sono sicuro al 100% che non puoi vedere tutti gli avvertimenti alla tua soluzione.

Qualunque cosa tu scelga, non esiste una soluzione "impostala e dimenticala" e chi sostiene che esista è molto probabilmente incompetente.

Grazie!Finora, l'unica risposta davvero buona.Saluti!e +1
"Tra l'archiviazione e l'utilizzo di una scheda SD di dimensioni standard (diciamo 128 GB), sposta il suo interruttore per leggere solo per l'uso quotidiano e per leggere-scrivere durante il backup. Questo interruttore non è realmente una protezione da scrittura.È solo un flag per il sistema host che _dovrebbe_ non consentire alcun accesso in scrittura.Pertanto non farei affidamento su questo in casi estremi come la protezione dei miei dati sensibili dal malware.
@Noir Hai ragione, la protezione dal futuro è una parte molto importante di qualsiasi strategia di backup e ho suggerito un'altra soluzione invece di una scheda SD potenzialmente non sicura.
#7
+6
techraf
2016-04-18 16:56:36 UTC
view on stackexchange narkive permalink

Sii semplice.

Sebbene le soluzioni di sincronizzazione cloud possano fornire protezione contro il ransomware tramite il controllo delle versioni dei file, la scelta di una soluzione individuale richiede una ricerca (1) (2) e penso che sia un'attività che non vale la pena . A seconda di un servizio cloud, la funzionalità del loro client è diversa e queste aziende creano e supportano le loro soluzioni principalmente come strumento di sincronizzazione piuttosto che per il backup e il controllo delle versioni.

(1) Google Drive offre il controllo delle versioni dei file ( 30 giorni), ma le vecchie versioni contano per il limite di spazio. Google non sembra pubblicare informazioni su cosa succede se avessi un piano da 100 GB e ~ 100 GB di dati che cambierebbero istantaneamente. Potrebbe interrompere la sincronizzazione o sacrificare le vecchie versioni.

(2) Dropbox offre un controllo delle versioni illimitato mantenuto per 30 giorni nei piani a pagamento.

Suggerirei di utilizzare una soluzione di backup di controllo delle versioni completa che esegua il backup sul cloud (oltre alla destinazione della rete locale).

Uso Arq che de- duplica i file in modo simile a Git (3) e li crittografa con AES prima che lascino la macchina. I file archiviati nel cloud o in rete non si trasformano dopo il backup, quindi nessun ransomware cambierebbe il loro contenuto (a meno che non sostituisse l'eseguibile, ma sarebbe troppo mirato).

(3) Questo significa che i file di cui è stato eseguito il backup vengono divisi e trattati come blocchi di dati immutabili. Nel caso in cui i file sorgente cambino, i nuovi dati vengono scritti con i vecchi rimanenti fino a quando il processo di raccolta dei rifiuti non li rimuove.

La cosa più importante: è una soluzione per la protezione dei dati che può essere testata (ripristina macchina, a un'altra) prima di qualsiasi disastro.

Tale atteggiamento considera anche qualsiasi servizio cloud come un mero spazio di archiviazione, liberando così l'utente dal dover considerare sottili differenze tra i servizi.

L'unica cosa che non offre è l'accesso web ai file (a causa della crittografia), quindi deve eseguire un ripristino (e l'installazione del software in caso di smarrimento di tutti i computer), ma è necessario decidere se desideri backup e protezione o sincronizzazione e condivisione .

Bene, i client Google Drive e Dropbox per PC ti danno un feedback visivo quando carica cose ... L'unico modo in cui non avrei notato molti caricamenti di gigabyte era se avessi lasciato il mio PC acceso nel momento sbagliato ...
Sì.Questa è una possibile politica di protezione: "* Per la sicurezza dei miei dati mi affido alla mia capacità di individuare un traffico di rete insolito *".
#8
+6
Peter N
2016-04-18 20:52:26 UTC
view on stackexchange narkive permalink

Uso una pila di dischi rigidi USB-3 esterni, "A", "B", "C", ecc. che ruoto in sequenza ed eseguo un backup notturno automatico. (Il mio computer funziona 24 ore su 24, 7 giorni su 7, quindi di notte esegue attività come backup completi, scansioni approfondite di malware e deframmentazione occasionale) In altre parole, l'unità su cui viene scritta questa sera è la più vecchia della sequenza. Ne tengo 3 fuori sede in una cassetta di sicurezza della banca che aggiorno all'incirca una volta alla settimana. Dato che vado in banca, o nello strip-mall in cui si trova la banca, regolarmente per altre attività questo non aggiunge un grande peso. (Lo stoccaggio fuori sede protegge da incendi, furti e simili).

L'unico altro lavoro che devo fare è, quando mi siedo al computer per iniziare la mia giornata, devo ricordarmi di scambiare il connettore USB del backup di ieri sera con quello successivo nella sequenza , che ora è tutta un'abitudine.

Il mio prossimo compito da fare per questo problema è aggiungere una verifica automatica che i file siano leggibili e non crittografati. In questo momento lo faccio manualmente a campione, ma richiede tempo e attenzione, quindi mi piacerebbe automatizzarlo.

Quindi, una pianificazione di rotazione dei backup standard, quindi.È piacevole vedere le persone fare questo processo molto semplice.
Invece di ruotare in sequenza usavo lo schema della Torre di Hanoi.Non si guadagna molto se usato solo con 3 dischi, ma portalo a 4 o 5 e ottieni un periodo di backup più lungo.* [Un set di n nastri (o altri supporti) consentirà backup per 2n-1 giorni prima che l'ultimo set venga riciclato.Quindi, tre nastri daranno quattro giorni di backup e il quinto giorno il set C verrà sovrascritto;quattro nastri daranno otto giorni e l'insieme D viene sovrascritto il nono giorno;cinque nastri danno 16 giorni, ecc.] (https://en.wikipedia.org/wiki/Backup_rotation_scheme) *
#9
+4
Dakpan
2016-04-18 17:32:32 UTC
view on stackexchange narkive permalink

La configurazione del NAS è la mia scelta preferita, per un secondo backup potresti usare un disco rigido offline per fare un backup una volta al mese.Il NAS è carino perché puoi portare i dischi offline ogni volta che vuoi OPPURE puoi fare quello che cerco di fare Fare. Cambiare i dischi, una volta all'anno, pulire i dischi sul NAS (buono anche per la velocità, ecc.). Tieni i vecchi dischi rigidi in una buona posizione (ed etichettali).

Se mai superano il tuo primo livello di sicurezza e infettano il tuo NAS, puoi semplicemente rimuovere i dischi.

Inoltre utilizzo sistemi di ripristino predefiniti che mi aiutano a mantenere i backup per quando accadono cose del genere.

Se per "sistemi di ripristino predefiniti" intendi la copia shadow di Windows, potresti avere una brutta sorpresa a un certo punto: molti programmi ransomware sono in grado di disattivarlo ed eliminare le versioni precedenti dei file.
#10
+4
mucaho
2016-04-19 00:07:46 UTC
view on stackexchange narkive permalink

Crashplan, un provider di archiviazione cloud a pagamento, ha un articolo dedicato su come la sua soluzione di archiviazione cloud online può aiutarti a recuperare da alcuni attacchi ransomware.
I loro servizi potrebbe essere un'alternativa adatta per il tuo caso d'uso in cui è necessario eseguire il backup di una grande quantità di dati per l'archiviazione a lungo termine (grazie a @GuntramBlohm).

Estratto:

CryptoLocker e CryptoWall sono una forma di malware che crittografa i file sul tuo computer e richiede il pagamento di un riscatto per decrittografare questi file. Invece di pagare i criminali dietro questo attacco, puoi utilizzare CrashPlan per ripristinare i tuoi file da una data e un'ora precedenti l'infezione. Questo articolo descrive come utilizzare CrashPlan per recuperare i file da un attacco CryptoLocker o CryptoWall.


EDIT:
Come notato nei commenti di @ Ajedi32, un ransomware intelligente potrebbe eliminare definitivamente i file dalla cronologia, rendendo i file originali irrecuperabili.
Molti fornitori di servizi di archiviazione cloud non eliminano i file immediatamente, ma piuttosto li archiviano in una directory del cestino (limitata nel tempo). Questo da solo non è sufficiente, poiché la directory del cestino può essere in genere svuotata in qualsiasi momento.

Attivazione intelligente del ransomware ...

Sebbene CryptoLocker e CryptoWall potrebbero non farlo, il ransomware non potrebbe teoricamente eliminare i backup di CrashPlan?Sono abbastanza sicuro che CrashPlan ti consenta di eliminare elementi dalla loro interfaccia utente desktop senza richiedere di eseguire nuovamente l'autenticazione con il tuo nome utente / password.
Sembra più una pubblicità che una risposta.Per lo meno, dovrebbe rivelare se c'è qualche affiliazione tra il poster e la società, e dovrebbe esserci una spiegazione su come questo differisca dalla strategia del PO.
@GuntramBlohm Non sono in alcun modo affiliato a quella società, sto semplicemente evidenziando una soluzione di archiviazione cloud alternativa, specializzata in backup su larga scala.Sono deluso dal fatto che tu la pensi diversamente.
@Ajedi32 ** Ciò può essere ottenuto. ** Con le impostazioni di backup predefinite, i file eliminati vengono conservati per sempre.Ora, se il ransomware fosse abbastanza intelligente da modificare le impostazioni di backup, potrebbero cambiarle in modo che i file appena eliminati non rimangano nell'archivio.Inoltre, i file che sono stati eliminati prima della modifica delle impostazioni, rimangono in archivio fino al termine della manutenzione, che può essere _support_ [forzata dall'utente] (https://support.code42.com/CrashPlan/4/Configuring/Deleting_Files_From_Your_Backup_Archive#Removing_Files_From_Your_Archive_% 28 Facoltativo% 29).
@GuntramBlohm ** Invece di pagare i criminali **, pagaci.Non siamo dei truffatori, almeno.
#11
+4
John McNamara
2016-04-19 14:09:08 UTC
view on stackexchange narkive permalink

Nessuna soluzione che coinvolge il codice "backup su cloud" che viene eseguito ESCLUSIVAMENTE * sul PC "di lavoro" è sicura.

* aggiornato grazie ai commenti

Prima o poi gli autori del ransomware inizieranno a dirottare gli accessi al cloud storage.

Il mio la soluzione è condividere le cartelle degli utenti in modo che una seconda macchina Linux altamente sicura da qualche parte (locale o cloud) possa leggere i file degli utenti ed eseguirne il backup su qualunque sia / sono la / e destinazione / i appropriata / i, media rw locale, sola lettura locale Supponendo che la Linux box rimanga sicura, il malware non può attaccare i backup direttamente.

Dovrai conservare un numero sufficiente di backup storici completi per coprire il periodo di tempo massimo tra quando il ransomware INIZIA a crittografare i tuoi file e quando NOTI che sta accadendo. Questo potrebbe richiedere molto più tempo di pochi giorni.

Gli autori di ransomware devono affrontare un compromesso tra agire lentamente per eseguire il maggior numero possibile di backup e agire rapidamente per evitare il rilevamento e essere fermati da un'ulteriore crittografia di file.

Gli archivi di foto sono probabilmente un obiettivo succoso qui poiché sono probabilmente archiviati per molto tempo e non vengono esaminati e sono spesso di alto valore sentimentale. Crittografare lentamente solo la raccolta di foto di qualcuno (originale e backup) POTREBBE comportare un riscatto più elevato rispetto al semplice tentativo di attaccare rapidamente un intero PC.

Bella idea!Il ransomware esegue la scansione delle unità di rete disponibili, quindi non stai facendo in modo che il computer invii il backup, ma stai facendo in modo che il backup tenga il computer.Mi chiedo se le diverse soluzioni di backup controllate dalla rete possano funzionare in questo modo.
Il backup nell'archivio cloud può essere sicuro contro il ransomware se utilizza un archivio di file di registro, ovvero tutte le modifiche ai file vengono tradotte in un registro di controllo delle versioni e il token di autorizzazione utilizzato nella macchina non è autorizzato a modificare i registri storici.La maggior parte degli archivi cloud di livello consumer supporta il controllo delle versioni, ma non so se può essere limitato all'autorizzazione di sola aggiunta.
@LieRyan Questa è una soluzione intelligente ed efficace simile, 1 PC non attendibile per fornire dati di origine e 1 PC attendibile per agire come autorità del processo di backup.Sarebbe fantastico se tutti i fornitori di cloud adottassero uno standard attorno a questa idea.Non sono a conoscenza di nessuno che lo offra, forse alcune delle soluzioni più complesse di Amazon?
#12
+3
Potaito
2016-04-18 20:25:15 UTC
view on stackexchange narkive permalink

Riassumiamo come funziona il ransomware:

Il ransomware crittografa tutto ciò che trova. Ciò include:

  • Tutte le unità locali
  • Supporto esterno connesso al computer al momento dell'attacco
  • Condivisioni di rete montate con accesso in scrittura

Ciò fornisce le seguenti possibili precauzioni

  • Archiviazione su cloud senza un client installato localmente (non fattibile per grandi quantità di file)
  • Archiviazione cloud con client locale, ma sei sempre disconnesso a meno che non sia necessario un backup (facile da dimenticare)
  • Unità offline, che connetti solo quando è necessario un backup
  • Supporti di sola lettura come DVD e Blueray (Buono per l'archiviazione)
  • Percorso di rete a cui il tuo account utente non ha accesso per. Quindi, esegui l'attività di backup da un account diverso che ha effettivamente accesso. Tuttavia, il metodo di backup deve memorizzare più versioni. In caso contrario, i backup intatti potrebbero essere semplicemente sovrascritti con le versioni crittografate / danneggiate nel caso in cui l'utente non si accorga della crittografia abbastanza presto.

Personalmente ho scelto l'ultima opzione per me perché ho ancora completamente backup automatici. Nel caso in cui il mio computer venisse compromesso da ransomware, non sarebbe in grado di crittografare la condivisione di rete a causa della mancanza di autorizzazioni. Abbinalo a backup offline occasionali e dovresti andare bene.

Sfortunatamente, se prendiamo in considerazione tutti i possibili exploit, l'unica soluzione valida è quella di utilizzare supporto di sola lettura. Un root-exploit, un key-logger o simili rendono inutili la maggior parte degli altri metodi. A causa dello sforzo extra, questi verrebbero probabilmente utilizzati solo in attacchi mirati a individui (ufficio locale, ristorante ecc.).

L'ultima opzione richiede: "... e spero che il ransomware non includa anche un exploit per ottenere i permessi per il percorso di rete."Forse non è un presupposto valido in generale, anche se probabilmente per ora sicuro, almeno per attacchi comuni.
@Ben Hai ragione, ho aggiunto i backup offline alla mia soluzione.
#13
+2
Mindwin
2016-04-18 17:35:30 UTC
view on stackexchange narkive permalink

Le altre risposte affrontano molto bene le tue prime preoccupazioni. Come sulle alternative per mantenere i file al sicuro dal ransomware senza dipendere ancora da soluzioni di terze parti (es. Cloud hosting):

Procurati un altro PC (uno con una grande unità di archiviazione) con un sistema operativo più sicuro nella tua rete locale, e installa un server del software di controllo della versione (es. Subversion).

Salva i tuoi file in una copia funzionante e mantienili sincronizzati tramite il client di controllo della versione.

Subversion andrebbe bene per questo , poiché non ci saranno molti conflitti da invii simultanei. Puoi scrivere i comandi di sincronizzazione per eseguirli in base a una pianificazione.

Questa opzione sembra piuttosto interessante.Forse usando git offerto da bitbucket ...
@OscarFoley sì, qualsiasi controllo di versione funzionerà.L'utilizzo di una macchina secondaria ha il vantaggio della larghezza di banda LAN e dell'accesso fisico.
In questo caso SVN o Hg sarebbero effettivamente migliori, a causa della capacità di push distruttiva di git.Vuoi essere in grado di creare versioni storiche che non possono essere rimosse.In realtà, però, questo non è un uso molto realistico del controllo della versione, che non è realmente progettato come una soluzione di backup.
#14
+1
WhatPlantsCrave
2016-04-20 01:26:18 UTC
view on stackexchange narkive permalink

Qualsiasi servizio di archiviazione cloud con controllo delle versioni abilitato ti proteggerà dal ransomware. L'opzione di controllo delle versioni è fondamentale qui, poiché potrebbe essere necessario ripristinare una versione precedente se il malware ha modificato i file nel servizio cloud.

AWS S3 ha il controllo delle versioni come opzione, ma non è abilitato per impostazione predefinita. DropBox ha il controllo delle versioni abilitato per impostazione predefinita. Google Drive per file non Google (Google Docs, ecc.) Richiede di abilitare manualmente l'opzione "conserva per sempre" per farlo.

Esiste tuttavia una mitigazione non cloud relativamente semplice per questa minaccia.

  1. Configura un file server NAS o Linux per archiviare i dati, quindi aggiungi una o più unità di backup esterne.
  2. Consenti ai tuoi computer di utilizzare l'archiviazione direttamente dal NAS / server o di eseguire il backup dell'archivio locale su di esso.
  3. Avere un'utilità di backup eseguita direttamente sul NAS / server e impostarla per eseguire il backup sull'unità esterna.
  4. Assicurati che l'unità esterna non sia accessibile da nessuna parte oltre al NAS / server stesso, tramite i permessi dei file su Linux o tramite un'opzione di configurazione nella GUI del NAS.

Questo backup secondario sarà inaccessibile al ransomware sul tuo computer. Se venissi infettato, dovresti ripulire il malware (duh) e quindi ripristinare il backup secondario sul tuo NAS / server.

La maggior parte delle unità NAS ha una funzione di backup incorporata per le unità esterne. Se stai utilizzando un server Linux, rsnapshot farà il lavoro per te. Puoi configurarlo in cron per essere eseguito tutte le volte che vuoi, assicurandoti di non perdere più dei dati prodotti in quel lasso di tempo.

CrashPlan può essere utilizzato anche per il backup locale se è necessaria la deduplicazione / compressione. (Anche se verrà eseguito solo una volta al giorno a meno che non ti iscrivi)

Sebbene questo richieda un po 'di lavoro di configurazione, può essere eseguito per lo più senza manutenzione fino a quando non riempi lo spazio di archiviazione.

Mi ricorda [BackupPC (utility OSS)] (http://backuppc.sourceforge.net/info.html) che sincronizza i dati in una posizione remota, ma utilizza collegamenti simbolici per conservare i dati storici e ridurre i requisiti di archiviazione.La cosa migliore: estrae i dati dai client, quindi anche i client non saranno in grado di vedere o scrivere nell'archivio di backup.
#15
+1
Thomas
2016-05-26 01:17:24 UTC
view on stackexchange narkive permalink

Ho reso le mie unità di backup avviabili con un piccolo sistema Linux eseguendo un rsnapshot automatico e spegnendolo dopo che è stato eseguito correttamente. Poiché i miei dati non cambiano molto, posso mantenere un numero elevato di istantanee.

Oh, se sei veramente paranoico, puoi misurare il tempo normalmente impiegato da rsnapshot e se tutto ad un tratto impiega molto più tempo, è una buona indicazione che qualcosa non va nel tuo sistema ...



Questa domanda e risposta è stata tradotta automaticamente dalla lingua inglese. Il contenuto originale è disponibile su stackexchange, che ringraziamo per la licenza cc by-sa 3.0 con cui è distribuito.
Loading...