1

Onderwerp: Oplossing bescherming ransomware

Voor een thuisnetwerk heb ik een NAS met Ubuntu Server en Samba.

De gedeelde schijf wordt als netwerkschijf gekoppeld in Windows clients.

Nu is het al een tijdje mijn angst dat 1 van de Windows computers besmet raakt met ransomware waardoor ook de samba share overschreven wordt. Ik maak een back-up hiervan maar dat is natuurlijk niet waterdicht. Ik ben al een tijdje aan het nadenken over een manier om versleuteling van de samba share te voorkomen in geval van besmetting van 1 van de windows computers.

Nu had ik bedacht dat ik hiervoor chattr -i kan gebruiken, in ieder geval voor de waardevolle foto's.

Zijn er redenen om dit niet op deze manier te willen doen?

Zijn er andere, misschien betere manieren om versleuteling van bestanden te voorkomen in geval van een besmetting met ransomware?

Ik ben benieuwd naar jullie oplossingen en gedachten?

MarcV

Re: Oplossing bescherming ransomware

Met chatrr -i kun je de bestanden niet meer overschrijven. Lijkt me erg onhandig. Meer voor de hand ligt het om kopieen/backup op de Linux server te maken. Of een aantal kopieen. Gaat er iets mis, dan heb je dat snel door en stop je het kopieermechanisme en kun je terugvallen op een backup. Lijkt me veel handiger.

Re: Oplossing bescherming ransomware

Als het waardevolle foto's zijn en/of andere data, dan is een backup een must. Een backup is pas een backup als er een keer een volle restore mogelijk is gemaakt. Je kan eventueel ook de bestanden op read only zetten, maar niet via extended attributes, zoals chattr +i. Je risico zal je voornamelijk op samba share niveau willen afregelen.

ACAB: All computers are broken. https://medium.com/message/everything-i … e5f33a24e1 "I've decided that you need gray hair and hemorrhoids to be a consultant.
The gray hair makes you look distinguished & the hemorrhoids make you look concerned."

4

Re: Oplossing bescherming ransomware

Goede afscherming van gebruikers onderling voorkomt dat alles op de server wordt besmet.
Verder bijv dagelijks een backup draaien die pas een tijd later wordt overschreven/aangevuld door een nieuwe backup. Daarmee kun je ook bestanden dagen later terug halen als je bijvoorbeeld per ongeluk een document  hebt gewist. Verder belangrijke bestanden die niet gewijzigd worden, zoals foto's, in een readonly map zetten.  En periodiek een volledige backup draaien die je los van je systeem bewaart. Liefst nog buiten pandig.
Zo heb ik mijn documenten weten te herstellen nadat zowel de server als de backup server door een power search door zijn gebrand.

Help mee om KDE 5 in het Nederlands te vertalen!!

5

Re: Oplossing bescherming ransomware

Ik draai inderdaad een wekelijkse back-up met een rsync in een cronjob maar dat is natuurlijk niet waterdicht. In het onwaarschijnlijke geval dat bestanden worden versleutelt vlak voor de rsync heb ik ook niets aan de backup.

Foto's hoeven (mogen) niet overschreven (te) worden, dus nogmaals mijn vraag: zijn er andere, betere manieren om me te wapenen tegen ransomware (behalve op de windows clients waar uiteraard beveiligingssoftware draait) en zijn er redenen (buiten dat bestanden niet overschreven kunnen worden; dit is namelijk de bedoeling) om geen chattr -i te gebruiken?

Re: Oplossing bescherming ransomware

Dan maak je een incrementele backup met delta's, zoals rdiff-backup. Chattr +i is een vieze oplossing, die alleen in een noodgeval gebruik mogen worden -vind ik-.

ACAB: All computers are broken. https://medium.com/message/everything-i … e5f33a24e1 "I've decided that you need gray hair and hemorrhoids to be a consultant.
The gray hair makes you look distinguished & the hemorrhoids make you look concerned."

Re: Oplossing bescherming ransomware

<marcv> Hi all
<marcv> Vraagje...
<marcv> Ik heb een ubuntu server met een samba share die gekoppeld als netwerkschijf in windowscomputers thuis.
<marcv> Nu ben ik al een tijdje huiverig voor ransomware op windowscomputers die, bij besmetting, ook de sambashare zouden kunnen versleutelen.
<lordievader> Heb je een backup van je belangrijke data?
<marcv> Ik maak met een cronjob en rsync wekelijks een back-up maar dat is niet waterdicht; bij een versleuteling vlak voor de cronjob draait zou de back-up ook waardeloos zijn.
<lordievader> Klopt, heeft jouw windows pc schrijf toegang nodig?
<marcv> Ik wil vooral foto's veilig hebben. Omdat deze niet overschreven hoeven (mogen) te worden zit ik er aan te denken om de hele directory met foto's te beveiligen met een chattr -i
<marcv> De windows computers (van de kinderen) gebruiken de sambashare als NAS dus volledige toegang nodig.
<marcv> Zijn er redenen om geen chattr -i te gebruiken of zijn er betere manieren om te beveiligen tegen ransomware?
<lordievader> Ik zou het iets genuanceerder doen. Een speciaal user account voor die folder gebruiken ofzo.
<lordievader> Of het een ro share maken.
<marcv> Dat doe je toch effectief met chattr -i ;-)
<lordievader> Nee, dan is ie ook niet meer vanaf Linux mutable.
<marcv> Dat is op zich prima. De rsync kan gewoon blijven draaien. Foto's kunnen bekeken en gekopieerd worden. Alleen niet verwijderd; precies wat ik wil.
<marcv> Moet trouwens chattr +i zijn zie ik

Al hulp gevonden op IRC.

ACAB: All computers are broken. https://medium.com/message/everything-i … e5f33a24e1 "I've decided that you need gray hair and hemorrhoids to be a consultant.
The gray hair makes you look distinguished & the hemorrhoids make you look concerned."

8

Re: Oplossing bescherming ransomware

begin idd met te voorkomen dat gebruikers aan elkaars data kunnen komen.
Als je per se wilt dat ze data kunnen sharen, doe dat dan minimaal (geef aan voor welke data dat kan en mag).
Ransomware wordt natuurlijk altijd gestart door ergens op te klikken. persoon in kwestie verantwoordelijk houden lees doodknuppelenen, vierendelen, kielhalen en op het schavot zetten.
Dat leert ze iig wat verantwoordelijkheid is..

Pascal's Blobfree Homepage
Een dag geen NedLinux is een dag niet geleefd

9

Re: Oplossing bescherming ransomware

MarcV schreef:

Ik draai inderdaad een wekelijkse back-up met een rsync in een cronjob maar dat is natuurlijk niet waterdicht. In het onwaarschijnlijke geval dat bestanden worden versleutelt vlak voor de rsync heb ik ook niets aan de backup.

Foto's hoeven (mogen) niet overschreven (te) worden, dus nogmaals mijn vraag: zijn er andere, betere manieren om me te wapenen tegen ransomware (behalve op de windows clients waar uiteraard beveiligingssoftware draait) en zijn er redenen (buiten dat bestanden niet overschreven kunnen worden; dit is namelijk de bedoeling) om geen chattr -i te gebruiken?

Wekelijks is weinig en als elke backup de vorige overschrijft heb je inderdaad een probleem als je er te laat achter komt dat de bestanden versleuteld zijn.


Beter is het als je vaker backups maakt en als je  meerdere backups naast elkaar laat bestaan heb je een betere kans op herstel.

Help mee om KDE 5 in het Nederlands te vertalen!!

Re: Oplossing bescherming ransomware

Precies... breid je backupstrategie uit!

Re: Oplossing bescherming ransomware

Incrementele backups en idealiter moet de backup server moet 'pullen'. Dat wil zeggen, er moeten geen credentials voor de backup server op de machine die gebackuped wordt staan.

Verder wil je ze inderdaad veel frequenter doen. Ik doe elk uur incrementele backups. Aangezien het incrementeel is, kost het bijna niets.

12 Laatst bewerkt door Joris (27 Sep 2016 19:55:32)

Re: Oplossing bescherming ransomware

Elke NAS heeft toch ook iets van een cloud waarmee je bestanden terug kan zetten?
Op de Synology draait alles lokaal op cloud station. Als een bestand kapot, besmet raakt, hoef ik alleen een vorige versie terug te zetten.

IF not THEN toch

13

Re: Oplossing bescherming ransomware

Zoals timemachine van Apple?

Ik heb zelf een qnap, en die laat ik dagelijks een incrementele backup doen naar een andere map op de server, en dan elke dag een andere map. Dus kan een week terug kijken mocht ik per ongeluk een bestand verknoeien.
Verder elke dag een offsite backup.

Help mee om KDE 5 in het Nederlands te vertalen!!

14

Re: Oplossing bescherming ransomware

https://wiki.archlinux.org/index.php/Sy … p_programs Zo en nu maar lezen wink

ACAB: All computers are broken. https://medium.com/message/everything-i … e5f33a24e1 "I've decided that you need gray hair and hemorrhoids to be a consultant.
The gray hair makes you look distinguished & the hemorrhoids make you look concerned."

15

Re: Oplossing bescherming ransomware

Ik heb 3 MyBookLive nasjes 1 data 1 dagbackup 1weekbackup. 1 usb in de oude geldkist voor een maandbackup.

rsync  -avb --backup-dir=old_`date +%F` --delete --exclude=old*

De maand backup wordt steeds opnieuw gemaakt. Dit door de map voor de dagbackup te wijzigen.

groet,

Theo

Re: Oplossing bescherming ransomware

Rinse schreef:

Zoals timemachine van Apple?

Dat is niet ideaal, want daarbij stuurt de machine de backup naar de externe schijf danwel Airport. De schijf is dan zichtbaar als netwerk/lokale schijf en zou een cryptolocker variant dat ook kunnen encrypten.

Re: Oplossing bescherming ransomware

Rinse schreef:

Wekelijks is weinig en als elke backup de vorige overschrijft heb je inderdaad een probleem als je er te laat achter komt dat de bestanden versleuteld zijn.


Beter is het als je vaker backups maakt en als je  meerdere backups naast elkaar laat bestaan heb je een betere kans op herstel.

Is het niet zo met de meeste ransomware dat je je computer niet eens meet "in komt" als die besmet is? Misschien is het dan onmogelijk dat er nog (encrypted) backups gemaakt worden. Weet niet zeker hoor...

Als je voor een verdieping niet de diepte in moet, maar de hoogte, waarom heet het dan ....

18

Re: Oplossing bescherming ransomware

Rinse schreef:

Zoals timemachine van Apple?

Ik heb zelf een qnap, en die laat ik dagelijks een incrementele backup doen naar een andere map op de server, en dan elke dag een andere map. Dus kan een week terug kijken mocht ik per ongeluk een bestand verknoeien.
Verder elke dag een offsite backup.

Precies zoals Dropbox, maar dan met veel versies om terug te gaan.
Je besmette bestanden kun je weer recoveren.

IF not THEN toch

19

Re: Oplossing bescherming ransomware

devrandom schreef:
Rinse schreef:

Zoals timemachine van Apple?

Dat is niet ideaal, want daarbij stuurt de machine de backup naar de externe schijf danwel Airport. De schijf is dan zichtbaar als netwerk/lokale schijf en zou een cryptolocker variant dat ook kunnen encrypten.

Dat geldt alleen voor die status. Als je een commit terug gaat ben je weer unlocked.
Time Machine slaat net als een cloud--dienst of versiebeheer de verschillen op. Encryptie is een grote veranderen die ongedaan kan worden gemaakt.

IF not THEN toch

Re: Oplossing bescherming ransomware

Joris schreef:
devrandom schreef:
Rinse schreef:

Zoals timemachine van Apple?

Dat is niet ideaal, want daarbij stuurt de machine de backup naar de externe schijf danwel Airport. De schijf is dan zichtbaar als netwerk/lokale schijf en zou een cryptolocker variant dat ook kunnen encrypten.

Dat geldt alleen voor die status. Als je een commit terug gaat ben je weer unlocked.
Time Machine slaat net als een cloud--dienst of versiebeheer de verschillen op. Encryptie is een grote veranderen die ongedaan kan worden gemaakt.

Zou je die "encrypted" backup dan ook kunnen terug draaien met zoeits als rsync? Die kan toch ook incrementeel back-uppen?

Als je voor een verdieping niet de diepte in moet, maar de hoogte, waarom heet het dan ....

21 Laatst bewerkt door 5Tgff##2699Jbv!!rrOn (30 Sep 2016 18:50:10)

Re: Oplossing bescherming ransomware

Zijn we met de mosterd na de maaltijd bezig hiero? Misschien moet MarcV maar eens even vertellen wat hij van de antwoorden vindt.

22

Re: Oplossing bescherming ransomware

MeneerJansen schreef:
Rinse schreef:

Wekelijks is weinig en als elke backup de vorige overschrijft heb je inderdaad een probleem als je er te laat achter komt dat de bestanden versleuteld zijn.


Beter is het als je vaker backups maakt en als je  meerdere backups naast elkaar laat bestaan heb je een betere kans op herstel.

Is het niet zo met de meeste ransomware dat je je computer niet eens meet "in komt" als die besmet is? Misschien is het dan onmogelijk dat er nog (encrypted) backups gemaakt worden. Weet niet zeker hoor...

nou, het gaat niet om de pc of laptop van de getroffene, maar om de samba-shares waar de getroffene schrijftoegang tot heeft.
Die lopen natuurlijk ook het risico dat de individuele documenten versleuteld worden en als je dan je backupsysteem niet goed op orde hebt, dan loop je het risico dat de versleutelde documenten ook in je backups terecht komen.
En dat kun je volgens mij alleen voorkomen door meerdere backups naast elkaar te laten bestaan.

Help mee om KDE 5 in het Nederlands te vertalen!!

23

Re: Oplossing bescherming ransomware

devrandom schreef:
Rinse schreef:

Zoals timemachine van Apple?

Dat is niet ideaal, want daarbij stuurt de machine de backup naar de externe schijf danwel Airport. De schijf is dan zichtbaar als netwerk/lokale schijf en zou een cryptolocker variant dat ook kunnen encrypten.

Maar toch niet de hele geschiedenis van de documenten?

Help mee om KDE 5 in het Nederlands te vertalen!!

24

Re: Oplossing bescherming ransomware

peugeot2 schreef:

Zijn we met de mosterd na de maaltijd bezig hiero? Misschien moet MarcV maar eens even vertellen wat hij van de antwoorden vindt.

ik begrijp uit de discussie dat hij de boel readonly gaat maken.
is prima, ik vind het onderwerp wel interessant genoeg om verder op door te brainstormen.

Help mee om KDE 5 in het Nederlands te vertalen!!

25 Laatst bewerkt door QzZRBNMdJdsCmwx (01 Oct 2016 07:07:19)

Re: Oplossing bescherming ransomware

Joris schreef:

Dat geldt alleen voor die status. Als je een commit terug gaat ben je weer unlocked.
Time Machine slaat net als een cloud--dienst of versiebeheer de verschillen op.

Onzin.

Time Machine werkt vergelijkbaar met rsync -b. Elke nieuwe backup is een nieuwe directory, waarbij ongewijzigde bestanden hard linked worden naar de vorige versie. Als je CryptoLocker goed implementeert, dus een bestand encrypt zonder een nieuwe inode te maken, dan wordt bij het encrypten van een bestand die versie van het bestand in alle backups gewijzigd.

Als je dit niet gelooft, open maar eens een Time Machine volume en ga in de shell naar de Backups.backupdb directory:

% ls -l | tail -n10
drwxr-xr-x@ 3 daniel  staff  204 Jan  3  2013 2013-01-03-142207
drwxr-xr-x@ 3 daniel  staff  204 Jan  3  2013 2013-01-03-152005
drwxr-xr-x@ 3 daniel  staff  204 Jan  3  2013 2013-01-03-162217
drwxr-xr-x@ 3 daniel  staff  204 Jan  3  2013 2013-01-03-171631
drwxr-xr-x@ 3 daniel  staff  204 Jan  3  2013 2013-01-03-190549
drwxr-xr-x@ 3 daniel  staff  204 Jan  3  2013 2013-01-03-200555
drwxr-xr-x@ 3 daniel  staff  204 Jan  3  2013 2013-01-03-210547
drwxr-xr-x@ 3 daniel  staff  204 Jan  3  2013 2013-01-03-220446
drwxr-xr-x@ 3 daniel  staff  204 Jan  4  2013 2013-01-04-081148
lrwxrwxrwx  1 daniel  staff   17 Jan  4  2013 Latest -> 2013-01-04-081148

Voila, elke backup is gewoon een ouderwetse UNIX directory. Laten we eens een willekeurige file nemen, ik gebruik geen Bash, dus .bash_history zal wel niet bijster vaak veranderen:

% ls -la Latest/Macintosh\ HD/Users/daniel/.bash_history
-rw-------@ 39 daniel  staff  911 Nov 23  2012 Latest/Macintosh HD/Users/daniel/.bash_history

Let op: link count 39. Deze inode wordt dus op 39 verschillende plekken in het filesystem in een directory entry gebruikt. En we kunnen zien dat dezelfde file in veel backups gebruikt wordt:

% ls -i Latest/Macintosh\ HD/Users/daniel/.bash_history
477451 Latest/Macintosh HD/Users/daniel/.bash_history
% find . -inum 477451 2> /dev/null | head -n5
./2012-11-23-120647/Macintosh HD/Users/daniel/.bash_history
./2012-11-30-085150/Macintosh HD/Users/daniel/.bash_history
./2012-12-06-073221/Macintosh HD/Users/daniel/.bash_history
./2012-12-07-095245/Macintosh HD/Users/daniel/.bash_history
./2012-12-08-091748/Macintosh HD/Users/daniel/.bash_history

Veel backups versleutelen met behulp van alleen de laatste backup:

% chmod -N Latest/Macintosh\ HD/Users/daniel/.bash_history
% echo "CryptoLockered" > Latest/Macintosh\ HD/Users/daniel/.bash_history
% cat 2012-11-23-120647/Macintosh\ HD/Users/daniel/.bash_history
CryptoLockered

Let op: dit is alles als gewone gebruiker, geen sudo. Conclusie: het is triviaal voor iets als CryptoLocker om al je backups te encrypten. Encrypt de 'Latest' directory en je hebt al een groot deel van de bestanden te pakken. Wil je alles doen, maak een lijstje van inodes en het is helemaal game over.