Ransomware enTransip Stack online opslag ?

Hier horen vragen over google, irc, nieuwsgroepen, e-mail, enzovoort
Plaats reactie
karine
Elite Poster
Elite Poster
Berichten: 1233
Lid geworden op: 04 aug 2006, 09:44
Locatie: Geel (Antwerpen)
Uitgedeelde bedankjes: 10 keer
Bedankt: 22 keer

Ik maak gebruik van Stack om back-ups te bewaren.
Van alles wat er op mijn pc's staat gaat er automatisch een back-up naar mijn Synology NAS.
Van die Nas gaat er dan automatisch een back-up naar Stack.
Ik kan echter vanaf mijn Windows pc al de mappen op de Stack server openen.
Ik veronderstel dat wanneer er iets van Ransomware op mijn pc terecht zou komen ook alles op de Stack server kan besmet worden.

Nu was mijn vraag of ik dit op één of andere manier kan voorkomen ?
(bv de connectie tussen mijn pc en de Stack server verwijderen)
Maar ben ik dan veilig of kan die Ransomware ook van mijn pc naar de Nas en zo verder naar de Stack server gaan ?
Gebruikersavatar
Splitter
Elite Poster
Elite Poster
Berichten: 5250
Lid geworden op: 10 maa 2010, 12:30
Uitgedeelde bedankjes: 64 keer
Bedankt: 526 keer
Recent bedankt: 12 keer

ligt een beetje aan de ransomware, maar in het kort: "ja"
eveneens in het kort de beste oplossing: versioning (bij verandering van het bestand, het vorige bestand bewaren)

ik geloof dat synology dit ook (standaard?) aan boord heeft, dus is het eigenlijk zo simpel als dit inschakelen....
alleen lijkt het me dan minder verstandig om de windows pc volledige toegang te geven tot diezelfde locatie.
(pc => nas => versioning => stack is safe, maar als je dan pc => stack nog eens hebt kan de ransomware mogelijk de overige versies ook terug encrypten denk ik ?)

persoonlijk heb ik:

NAS (staat alles centraal op, in raid, zonder versioning, enige dat ik nog moet toevoegen) => syncthing naar 2 verschillende servers (met versioning en enkel in 1 richting aanpasbaar zodat als 1 server gehackt zou worden, de bestanden niet verwijderd worden van de NAS... hoewel dan natuurlijk de bestanden zelf wel compromised zijn... moet eigenlijk nog een keer encryption gaan gebruiken op de backups ook)
Gebruikersavatar
bitbite
Premium Member
Premium Member
Berichten: 558
Lid geworden op: 18 dec 2012, 14:01
Uitgedeelde bedankjes: 38 keer
Bedankt: 42 keer

Edit: nu beter leesbaar zonder alcohol
Splitter schreef:eveneens in het kort de beste oplossing: versioning (bij verandering van het bestand, het vorige bestand bewaren)
Dit is zo essentieel, en eigenlijk is quasi oneindige versioning nodig.
Er komt ooit een cryptolocker die de versleutelde bestanden geregeld een beetje wijzigt (1 byte toevoegen oid). Dan gaan er veel slachtoffers vallen die een eindig aantal revisions ingesteld hebben en de encryptie niet ontdekt hebben voor deze revisions allemaal overschreven zijn.
Laatst gewijzigd door bitbite 17 mei 2017, 10:35, in totaal 1 gewijzigd.
Gebruikersavatar
Splitter
Elite Poster
Elite Poster
Berichten: 5250
Lid geworden op: 10 maa 2010, 12:30
Uitgedeelde bedankjes: 64 keer
Bedankt: 526 keer
Recent bedankt: 12 keer

bitbite schreef:Er komt ooit een cryptolocker die de versleutelde bestanden geregeld een beetje wijzigt (1 byte toevoegen oid). Dan gaan er veel slachtoffers die een aantal revisions ingesteld hebben en de encryptie niet ontdekt hebben voor deze revisions allemaal overschreven zijn.
god i hope not... hoe zou je daar dan iets tegen doen? dan moet je al letterlijk offline backups hebben, en dan nog zien dat de backup versioning die je daarop zet al niet geinfecteerd is... lijkt me dus quasi onmogelijk om tegen te beschermen?

mijn versioning is zo ingesteld bij veranderingen:
1ste uur => 1 versie elke 30 seconden
1ste dag => 1 versie elk uur
1ste maand => 1 versie elke dag
2de tot 12de maand => 1 versie elke week

zit ik 100% veilig? nope, daar maak ik me geen illusies over.
maar ik denk toch dat ik redelijk goed zit (raid bescherming lokaal op de nas tegen defecte drives en off-site backups (met versioning) op 2 aparte fysieke locaties)
FlashBlue
Erelid
Erelid
Berichten: 2114
Lid geworden op: 20 jan 2006, 21:08
Locatie: Gent
Uitgedeelde bedankjes: 1022 keer
Bedankt: 296 keer

En toch heeft bitbite gelijk....

Wanacrypt (en oudere ransomwares ook al) disablen èn verwijderen nu al shadowcopies en snapshots als de rechten het toelaten van de account...
->

Code: Selecteer alles

cmd.exe /c vssadmin delete shadows /all /quiet & wmic shadowcopy delete & bcdedit /set {default} bootstatuspolicy ignoreallfailures & bcdedit /set {default} recoveryenabled no & wbadmin delete catalog -quiet (PID: 2292)
Dus zo vergezocht is bitbite zijn toekomstvoorspelling niet.
ubremoved_539
Deel van't meubilair
Deel van't meubilair
Berichten: 29849
Lid geworden op: 28 okt 2003, 09:17
Uitgedeelde bedankjes: 434 keer
Bedankt: 1972 keer

karine schreef:Ik veronderstel dat wanneer er iets van Ransomware op mijn pc terecht zou komen ook alles op de Stack server kan besmet worden.
Daarom dat een backup target eigenlijk enkel en alléén mag aangesproken worden door client backup software... en dat deze nooit write toegang krijgt tot de versies (afgedwongen door het server component, niet de client). Een voorbeeld hiervan is oa. Crashplan.

Alle oplossingen die gebaseerd zijn op file sharing (Dropbox, OneDrive, Stack, Google drive...) zijn per definitie dus al "waardeloos". Het heeft ook geen zin van backup client software te gebruiken die voldoet als de server eveneens toegang biedt via filesharing omdat de backup sets dan nog geïnfecteerd kunnen raken.
karine
Elite Poster
Elite Poster
Berichten: 1233
Lid geworden op: 04 aug 2006, 09:44
Locatie: Geel (Antwerpen)
Uitgedeelde bedankjes: 10 keer
Bedankt: 22 keer

Of ik moet bv wekelijks manueel via sync software de Stack server(Trans Ip Stack) synchroniseren met de Nas. Dat is natuurlijk ook snel gedaan. Daarnaast kan ik zoals ik vroeger al deed maandelijks alles naar losse harde schijven back-uppen met een prog zoals crashplan bv.
Gebruikersavatar
Splitter
Elite Poster
Elite Poster
Berichten: 5250
Lid geworden op: 10 maa 2010, 12:30
Uitgedeelde bedankjes: 64 keer
Bedankt: 526 keer
Recent bedankt: 12 keer

FlashBlue schreef:Wanacrypt (en oudere ransomwares ook al) disablen èn verwijderen nu al shadowcopies en snapshots als de rechten het toelaten van de account...
maar dat heeft toch geen impact op off-site versioning?

i.e: ik heb file A op de NAS, iets past versie A aan (dus krijg je lokaal versie B)... dan bestaat off-site versie A nog steeds.
delete iets vervolgens versie B lokaal, dan krijg je off-site versie A en versie B, etc etc.
de malware/ransomware kan dus toch in principe maar weinig doen aan off-site versioning bestanden? (in de veronderstelling dat de off-site locatie natuurlijk niet ergens lokaal als netwerkshare met write permission openstaat)

maar als die idd een jaar lang ongemerkt bestanden zit aan te passen zonder invloed om dan ineens na een jaar toe te slaan... ja, dan is mijn versioning ook voor niks geweest natuurlijk.
vraag is alleen hoe waarschijnlijk het is dat dat gaat gebeuren
ubremoved_539
Deel van't meubilair
Deel van't meubilair
Berichten: 29849
Lid geworden op: 28 okt 2003, 09:17
Uitgedeelde bedankjes: 434 keer
Bedankt: 1972 keer

Splitter schreef:maar als die idd een jaar lang ongemerkt bestanden zit aan te passen zonder invloed om dan ineens na een jaar toe te slaan
Je zou altijd een programma kunnen maken dat van ieder bestand op je schijf een MD5 hash maakt en deze opslaat... als je dat programma dan dagelijks/wekelijks laat uitvoeren heb je meteen een lijst wat is aangepast.
johcla
Elite Poster
Elite Poster
Berichten: 2417
Lid geworden op: 23 maa 2009, 21:08
Uitgedeelde bedankjes: 675 keer
Bedankt: 154 keer

De ransomware moet het dan ook nog gradueel doen: bij de meeste back-up programma's zoals Hyperbackup van Synology kan je instellen dat je een melding krijgt als er meer dan x% van je bestanden gewijzigd is. Als je zo'n melding krijgt terwijl je zelf niets veranderd hebt, dan weet je meteen dat er iets mis is.
Gebruikersavatar
Dafke
Elite Poster
Elite Poster
Berichten: 2840
Lid geworden op: 04 mei 2006, 21:31
Uitgedeelde bedankjes: 187 keer
Bedankt: 157 keer

ok, dus ik dacht eigenlijk dat ik "safe" zat omdat ik én versioning had aanstaan op de NAS (waarnaar mijn data vanop de vaste pc worden naartoe gesynched) én daarna de data liet synchen, one way, naar mijn google cloud.
Blijkbaar kan in dit geval ransomware nog steeds binnenglippen op 1 van de 2 of zelfs alle 2 systemen?
ubremoved_539
Deel van't meubilair
Deel van't meubilair
Berichten: 29849
Lid geworden op: 28 okt 2003, 09:17
Uitgedeelde bedankjes: 434 keer
Bedankt: 1972 keer

Als die NAS zijn versioning data opslaat in bijvoorbeeld directory \VersionData... en diezelfde directory is beschikbaar als een share voor alle PC's... tja, dan heeft het weinig zin. Als de NAS de informatie echter opslaat in een locatie die verder niet toegankelijk is (tenzij via één of andere webinterface) dan is het echter geen probleem.

Je moet met andere woorden tweemaal nadenken over de oplossingen die je gebruikt.
Gebruikersavatar
Dafke
Elite Poster
Elite Poster
Berichten: 2840
Lid geworden op: 04 mei 2006, 21:31
Uitgedeelde bedankjes: 187 keer
Bedankt: 157 keer

Dat begrijp ik maar.. als je technisch niet zo onderlegd erin bent, is dat niet altijd makkelijk :)
Tomby
Elite Poster
Elite Poster
Berichten: 6350
Lid geworden op: 01 feb 2006, 12:36
Uitgedeelde bedankjes: 1287 keer
Bedankt: 486 keer
Recent bedankt: 2 keer

bitbite schreef: Er komt ooit een cryptolocker die de versleutelde bestanden geregeld een beetje wijzigt (1 byte toevoegen oid). Dan gaan er veel slachtoffers vallen die een eindig aantal revisions ingesteld hebben en de encryptie niet ontdekt hebben voor deze revisions allemaal overschreven zijn.
Een goed versioning systeem gaat niet zomaar de laatste x versies bijhouden, maar doet dat 'tiered' (weet niet juiste welke term te gebruiken). Bvb in Crashplan ga je bvb van oudere versies van 1 jaar terug 1 versie per maand bijhouden, terwijl dat van de voorbije week 1 versie per uur kan zijn (of meer). Zelfs mijn 10 jaar oude Retrospect had al zoiets.

EDIT: was ondertussen al ter sprake gekomen :). Maar hoedanook vereist het serieus wat denkwerk om dit waterdicht te krijgen. Ik denk dat er heeeel veel mensen zijn, zelfs met IT ervaring, die denken dat ze safe zitten met hun backup systemen thuis (of elders) maar dat helemaal niet zijn om de redenen hier aangehaald.
Laatst gewijzigd door Tomby 17 mei 2017, 15:49, in totaal 1 gewijzigd.
karine
Elite Poster
Elite Poster
Berichten: 1233
Lid geworden op: 04 aug 2006, 09:44
Locatie: Geel (Antwerpen)
Uitgedeelde bedankjes: 10 keer
Bedankt: 22 keer

Kan je die Stack niet telkens ontkoppelen of uitloggen dan?
Ik veronderstel wanneer ik op mijn pc een wachtwoord moet ingeven om op Stack te kunnen inloggen de Ransomware ook geen toegang tot Stack heeft zonder dat paswoord of zie ik dat verkeerd?
ubremoved_539
Deel van't meubilair
Deel van't meubilair
Berichten: 29849
Lid geworden op: 28 okt 2003, 09:17
Uitgedeelde bedankjes: 434 keer
Bedankt: 1972 keer

Daarmee kan je het risico verkleinen... maar WannaCry infecteerde je PC zonder dat je zelf iets moest doen.

Maw. het zou evenzeer kunnen toeslaan tijdens het maken van je backup en dan ben je alsnog alles kwijt.

Vergeet ook niet dat Windows aan password caching doet... ontkoppelen logged je dus niet echt af.
karine
Elite Poster
Elite Poster
Berichten: 1233
Lid geworden op: 04 aug 2006, 09:44
Locatie: Geel (Antwerpen)
Uitgedeelde bedankjes: 10 keer
Bedankt: 22 keer

Lastig.
Zou het dan mogelijk zijn om Stack volledig te ontkoppelen van mijn pc en bv wekelijks te koppelen om een back-up te maken ?
Ik zou dan via een programma als Goodsync wekelijks een back-up maken.
Gebruikersavatar
Splitter
Elite Poster
Elite Poster
Berichten: 5250
Lid geworden op: 10 maa 2010, 12:30
Uitgedeelde bedankjes: 64 keer
Bedankt: 526 keer
Recent bedankt: 12 keer

kan je niet gewoon enkel de NAS aanspreken lokaal, en de NAS het syncen met transip laten doen?
zodat je op zijn minst geen directe verbinding moet hebben tussen je pc en transip

dus zoals je het hebt, maar de koppeling pc => transip gewoon verwijderen,
en dan zorgen dat je NAS (en/of transip zelf) ook aan (staggered) versioning doet voor je backups
butskristof
Elite Poster
Elite Poster
Berichten: 1513
Lid geworden op: 19 dec 2011, 18:42
Locatie: Heist-op-den-Berg
Uitgedeelde bedankjes: 478 keer
Bedankt: 110 keer

Dat gaat, maar dan kan je STACK natuurlijk voor niks anders meer gebruiken. Er zit wel een user mogelijkheid in, maar daarmee kan je (voor zover ik heb gevonden) geen toegang tot bepaalde folders of zo geven.
Anders kon je natuurlijk gewoon een speciale backup user maken die enkel daar toegang toe heeft en de gewone net niet tot die folder.
karine
Elite Poster
Elite Poster
Berichten: 1233
Lid geworden op: 04 aug 2006, 09:44
Locatie: Geel (Antwerpen)
Uitgedeelde bedankjes: 10 keer
Bedankt: 22 keer

Ik ga deze twee opties eens proberen.
1.en dan zorgen dat je NAS (en/of transip zelf) ook aan (staggered) versioning doet voor je backups

2.nu gaat alles via Synology cloundsync automatisch van nas naar Stack. Als ik nu telkens na een back-up cloudsync uitschakel zou het ook wel kunnen werken.
Gebruikersavatar
cptKangaroo
Elite Poster
Elite Poster
Berichten: 3064
Lid geworden op: 18 dec 2004, 14:33
Locatie: 053 Aalst
Uitgedeelde bedankjes: 666 keer
Bedankt: 227 keer
Recent bedankt: 1 keer

Homemade scriptje/appke dat alarm slaat als het aantal geëncrypteerde bestanden opeens de hoogte ingaat?
Plaats reactie

Terug naar “Algemeen Internet-Gebruik”