16568
05.10.2015
2769
15
0
Backups vs. wirkliche Datensicherheit
Hallo liebe Kollegen,
ich sitze gerade hier bei einem Kunden, dem hat es seine Daten UND sein Backup gecrypted.
Klar, Backup ist ja auf mehrere Datenträger verteilt, dennoch ist die Arbeit von ein paar Tagen wech.
Daher die grundlegende Frage: wie handhabt Ihr das eigentlich so?
Von den Heinis der AV-Fraktion erhält man natürlich immer die Antwort: ja, das war 0-day, neuer Schädling, blablaba, Fakt ist halt, daß die meisten nur noch signaturbasierend arbeiten, und keiner guckt mehr, wie auffällig sich eine Datei/ein Prozeß verhält.
Wenn ein Programm innerhalb von wenigen Minuten SEHR VIELE Dateien manipuliert, würde ich als AV-Hersteller zumindest mal ein Popup aufblitzen lassen, oder eine Mail an den Admin schicken und bis dahin halt erst mal alles blocken, was nicht gewhitlisted ist.
Nö, ich darf stattdessen fröhlich mit dem Erpresser chatten, was es denn kostet, wenn er das Decrypt-Tool rausrückt.
(den Beweis, daß er es kann, hat er schon mal erbracht )
Grml...
Wie würdet Ihr unter dem Aspekt, daß das Backup ja auch verschlüsselt werden könnte, das in Zukunft handhaben?
Lonesome Walker
ich sitze gerade hier bei einem Kunden, dem hat es seine Daten UND sein Backup gecrypted.
Klar, Backup ist ja auf mehrere Datenträger verteilt, dennoch ist die Arbeit von ein paar Tagen wech.
Daher die grundlegende Frage: wie handhabt Ihr das eigentlich so?
Von den Heinis der AV-Fraktion erhält man natürlich immer die Antwort: ja, das war 0-day, neuer Schädling, blablaba, Fakt ist halt, daß die meisten nur noch signaturbasierend arbeiten, und keiner guckt mehr, wie auffällig sich eine Datei/ein Prozeß verhält.
Wenn ein Programm innerhalb von wenigen Minuten SEHR VIELE Dateien manipuliert, würde ich als AV-Hersteller zumindest mal ein Popup aufblitzen lassen, oder eine Mail an den Admin schicken und bis dahin halt erst mal alles blocken, was nicht gewhitlisted ist.
Nö, ich darf stattdessen fröhlich mit dem Erpresser chatten, was es denn kostet, wenn er das Decrypt-Tool rausrückt.
(den Beweis, daß er es kann, hat er schon mal erbracht )
Grml...
Wie würdet Ihr unter dem Aspekt, daß das Backup ja auch verschlüsselt werden könnte, das in Zukunft handhaben?
Lonesome Walker
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 284699
Url: https://administrator.de/contentid/284699
Ausgedruckt am: 25.11.2024 um 18:11 Uhr
15 Kommentare
Neuester Kommentar
moin,
mein beileid für den kunden...
0-day hin oder nicht... ich frage mich grade wie das passiert sein soll- ich tippe zu 80% auf eine e-mail...
wo der kunde unbedingt den anhang öffnen wollte... egal was das AV- programm sacht... da steht rechnung- das muss ich auf machen... kenn ich nur zu gut
wiso ist die datensicherung verschlüsselt ? was ist das für ein backup?
meine acronis datensicherungen ( NAS ) sind bis jetzt noch nicht verschlüsselt worden.
frank
mein beileid für den kunden...
0-day hin oder nicht... ich frage mich grade wie das passiert sein soll- ich tippe zu 80% auf eine e-mail...
wo der kunde unbedingt den anhang öffnen wollte... egal was das AV- programm sacht... da steht rechnung- das muss ich auf machen... kenn ich nur zu gut
wiso ist die datensicherung verschlüsselt ? was ist das für ein backup?
meine acronis datensicherungen ( NAS ) sind bis jetzt noch nicht verschlüsselt worden.
frank
Sers,
Tape hilft in solchen Fällen. Wenn auf eine NAS Freigabe gesichert wird, dann gilt sicherzustellen dass KEIN Domänennutzer Zugriff auf die Freigaben hat. Dafür gibt es Domänenfremde Backupuser.
Vielleicht kannst du deinem Kunden ja mal austreiben mit Domänenadminrechten unterwegs zu sein.
Nuja,... was soll man machen. Hast wenigstens einen mit Helpdesk Hotline? xD
Grüße,
Philip
Tape hilft in solchen Fällen. Wenn auf eine
Vielleicht kannst du deinem Kunden ja mal austreiben mit Domänenadminrechten unterwegs zu sein.
Nuja,... was soll man machen. Hast wenigstens einen mit Helpdesk Hotline? xD
Grüße,
Philip
Ich nehme an das der Schädling betsimmte Daten verschlüsselt hat um Lösegeld zu erhalten..
Aber um genau sowas vorzubeugen bzw den Schaden gering zu halten hab ich damals ein Banana Pi geholt mit ner 2 TB Platte.
Dort läuft nur das Minimalsystem mit Samba und rsync.
Und die Banane verbindet sich zum Client und macht ein Backup der Daten per rsync und das Backup ist nur im Lesezustand per samba erreichbar.
Dafür wurde extra ein Backupkonto erstellt womit die Banane die Daten holen kann.
Aber vom Client aus hast du keinen Schreibzugriff.
Selbst bei nen Trojaner der Aktiv ist kann der das Backup nicht ändern da der dazu ssh zugang braucht.
Und für so Backups ist der minipc Prima geeigent ;)
Aber um genau sowas vorzubeugen bzw den Schaden gering zu halten hab ich damals ein Banana Pi geholt mit ner 2 TB Platte.
Dort läuft nur das Minimalsystem mit Samba und rsync.
Und die Banane verbindet sich zum Client und macht ein Backup der Daten per rsync und das Backup ist nur im Lesezustand per samba erreichbar.
Dafür wurde extra ein Backupkonto erstellt womit die Banane die Daten holen kann.
Aber vom Client aus hast du keinen Schreibzugriff.
Selbst bei nen Trojaner der Aktiv ist kann der das Backup nicht ändern da der dazu ssh zugang braucht.
Und für so Backups ist der minipc Prima geeigent ;)
Moin Lonesome Walker,
die AV-Programme können wesentlich mehr, als du gesagt bekommen hast und nein, sie arbeiten eben nicht mehr nur signaturbasierend.
Schau dir ein paar AV-Suiten für Firmen an, was diese an Funktionen beinhalten, um genau den Fall, den du hattest, nicht zu bekommen.
Allerdings gilt es, immer einen Kompromiss zwischen hoher Sicherheit und akzeptablen Leistungseinbußen einzustellen.
Zu oft setzen sich hier die falschen Leute durch.
Weiterhin hilft recht wenig, wenn unaufmerksame Nutzer zu viele Rechte haben.
Wie allerdings das Backup vom Virus verschlüsselt werden konnte, kann ich nicht nachvollziehen.
Sind diese Daten auf einer simplen Freigabe mit Zugriffsrechten für jeden (Domänen)Benutzer abgelegt?
So wie Philipp das geschrieben hat, BackupUser und Freigabe nur für diesen und anschließend auf Band oder anderes externes Medium.
Von daher werden bei mir auch die Sicherungen von BackupExec verschlüsselt abgelegt, die das Haus verlassen.
die AV-Programme können wesentlich mehr, als du gesagt bekommen hast und nein, sie arbeiten eben nicht mehr nur signaturbasierend.
Schau dir ein paar AV-Suiten für Firmen an, was diese an Funktionen beinhalten, um genau den Fall, den du hattest, nicht zu bekommen.
Allerdings gilt es, immer einen Kompromiss zwischen hoher Sicherheit und akzeptablen Leistungseinbußen einzustellen.
Zu oft setzen sich hier die falschen Leute durch.
Weiterhin hilft recht wenig, wenn unaufmerksame Nutzer zu viele Rechte haben.
Wie allerdings das Backup vom Virus verschlüsselt werden konnte, kann ich nicht nachvollziehen.
Sind diese Daten auf einer simplen Freigabe mit Zugriffsrechten für jeden (Domänen)Benutzer abgelegt?
So wie Philipp das geschrieben hat, BackupUser und Freigabe nur für diesen und anschließend auf Band oder anderes externes Medium.
Zitat von @Vision2015:
wiso ist die datensicherung verschlüsselt ? was ist das für ein backup?
meine acronis datensicherungen ( NAS ) sind bis jetzt noch nicht verschlüsselt worden.
Weil Datensicherungen, die außer Haus gelagert werden, nicht von jedem einsehbar sein sollten.wiso ist die datensicherung verschlüsselt ? was ist das für ein backup?
meine acronis datensicherungen ( NAS ) sind bis jetzt noch nicht verschlüsselt worden.
Von daher werden bei mir auch die Sicherungen von BackupExec verschlüsselt abgelegt, die das Haus verlassen.
Zitat von @goscho:
Weil Datensicherungen, die außer Haus gelagert werden, nicht von jedem einsehbar sein sollten.
Von daher werden bei mir auch die Sicherungen von BackupExec verschlüsselt abgelegt, die das Haus verlassen.
Finde ich auch!Weil Datensicherungen, die außer Haus gelagert werden, nicht von jedem einsehbar sein sollten.
Von daher werden bei mir auch die Sicherungen von BackupExec verschlüsselt abgelegt, die das Haus verlassen.
Hat mich mal ein Sicherheitsberater gefragt:
- Wenn Sie die Bänder in anderen Standort bringen dürfen Sie nicht anhalten (Bäcker, Tanke, Gummibärchen kaufen, ...), damit Ihnen keiner die Bänder klauen kann.
Dann meinte ich nur: Doch. Sie können gerne ein Band von uns haben. Viel Spaß mit AES 256
Und ich kann Gummibärchen kaufen gehen ..
Hallo,
hab ich das nun richtig verstanden das du einen Schädling hast der nach Infektion (Dateiserver?) die aktuellen Online Daten und die vorangegangenen Backups verschlüsselt hat?
Also bei uns haben die Clients (Server) keinen Zugriff auf die "alten" Backups, da die Backup/Restore Steurung zentral von einer getrennten Maschine aus erfolgt und nicht am Client direkt. Das gibt zwar ab und an gemeckern wegen fehlendem Self-Service etc. hat aber mit der Gewaltenteilung einen unbestreitbaren Sicherheitsvorteil.
Was natürlich gefährlich wird ist falls der Schädling mehrere Tage normale arbeit zulässt und die dabei anfallenden Daten bereits Schad-Verschlüsselt sind, die sind dann natürlich auch nicht mehr zu retten.
Gruß
Andi
hab ich das nun richtig verstanden das du einen Schädling hast der nach Infektion (Dateiserver?) die aktuellen Online Daten und die vorangegangenen Backups verschlüsselt hat?
Also bei uns haben die Clients (Server) keinen Zugriff auf die "alten" Backups, da die Backup/Restore Steurung zentral von einer getrennten Maschine aus erfolgt und nicht am Client direkt. Das gibt zwar ab und an gemeckern wegen fehlendem Self-Service etc. hat aber mit der Gewaltenteilung einen unbestreitbaren Sicherheitsvorteil.
Was natürlich gefährlich wird ist falls der Schädling mehrere Tage normale arbeit zulässt und die dabei anfallenden Daten bereits Schad-Verschlüsselt sind, die sind dann natürlich auch nicht mehr zu retten.
Gruß
Andi
Zitat von @goscho:
Moin Lonesome Walker,
die AV-Programme können wesentlich mehr, als du gesagt bekommen hast und nein, sie arbeiten eben nicht mehr nur signaturbasierend.
Schau dir ein paar AV-Suiten für Firmen an, was diese an Funktionen beinhalten, um genau den Fall, den du hattest, nicht zu bekommen.
Allerdings gilt es, immer einen Kompromiss zwischen hoher Sicherheit und akzeptablen Leistungseinbußen einzustellen.
Zu oft setzen sich hier die falschen Leute durch.
Weiterhin hilft recht wenig, wenn unaufmerksame Nutzer zu viele Rechte haben.
Wie allerdings das Backup vom Virus verschlüsselt werden konnte, kann ich nicht nachvollziehen.
Sind diese Daten auf einer simplen Freigabe mit Zugriffsrechten für jeden (Domänen)Benutzer abgelegt?
So wie Philipp das geschrieben hat, BackupUser und Freigabe nur für diesen und anschließend auf Band oder anderes externes Medium.
Von daher werden bei mir auch die Sicherungen von BackupExec verschlüsselt abgelegt, die das Haus verlassen.
Moin Lonesome Walker,
die AV-Programme können wesentlich mehr, als du gesagt bekommen hast und nein, sie arbeiten eben nicht mehr nur signaturbasierend.
Schau dir ein paar AV-Suiten für Firmen an, was diese an Funktionen beinhalten, um genau den Fall, den du hattest, nicht zu bekommen.
Allerdings gilt es, immer einen Kompromiss zwischen hoher Sicherheit und akzeptablen Leistungseinbußen einzustellen.
Zu oft setzen sich hier die falschen Leute durch.
Weiterhin hilft recht wenig, wenn unaufmerksame Nutzer zu viele Rechte haben.
Wie allerdings das Backup vom Virus verschlüsselt werden konnte, kann ich nicht nachvollziehen.
Sind diese Daten auf einer simplen Freigabe mit Zugriffsrechten für jeden (Domänen)Benutzer abgelegt?
So wie Philipp das geschrieben hat, BackupUser und Freigabe nur für diesen und anschließend auf Band oder anderes externes Medium.
Zitat von @Vision2015:
wiso ist die datensicherung verschlüsselt ? was ist das für ein backup?
meine acronis datensicherungen ( NAS ) sind bis jetzt noch nicht verschlüsselt worden.
Weil Datensicherungen, die außer Haus gelagert werden, nicht von jedem einsehbar sein sollten.wiso ist die datensicherung verschlüsselt ? was ist das für ein backup?
meine acronis datensicherungen ( NAS ) sind bis jetzt noch nicht verschlüsselt worden.
Von daher werden bei mir auch die Sicherungen von BackupExec verschlüsselt abgelegt, die das Haus verlassen.
ich glaube da habe ich mich falsch ausgedrückt, natürlich sind und gehören externe datensicherungen verschlüsselt- ich meinte das meine datensicherungen noch nie von einem virus etc. verschlüsselt wurden...
und der otto normal user soll ja eh keine rechte haben, auf irgendein backup medium zuzugreifen... wäre ja doof
also sind wie du schon so schon sagtest, die user mit zu vielen rechten ausgerüstet...
frank
Hallo,
Eine der goldenen Regeln der Informationssicherheit ist das so genannte Need-to-Know-Prinzip: Jeder Benutzer (und auch jeder Administrator)
sollte nur auf jene Datenbestände zugreifen und jene Programme aus führen dürfen, die er für seine tägliche Arbeit auch wirklich benötigt. Deshalb ist es besser (notwendig), spezielle Backup-Benutzer für die Datensicherung anzulegen.
Die Einsicht bei unseren Anwendern kommt meistens erst dann, wenn ein CryptoLocker die Arbeit von Tagen oder Wochen zerstört hat. Plötzlich ist auch Geld für die Datensicherung und die notwendigen Veränderungen am System vorhanden. Erst nach einen Crypto-Unfall spielen die Kosten (für notwendige Veränderungen bei den Benutzerrechten) keine Rolle mehr, traurig aber wahr
Mit freundlichen Grüßen Andreas
Wie würdet Ihr unter dem Aspekt, daß das Backup ja auch verschlüsselt werden könnte, das in Zukunft handhaben?
Eine der goldenen Regeln der Informationssicherheit ist das so genannte Need-to-Know-Prinzip: Jeder Benutzer (und auch jeder Administrator)
sollte nur auf jene Datenbestände zugreifen und jene Programme aus führen dürfen, die er für seine tägliche Arbeit auch wirklich benötigt. Deshalb ist es besser (notwendig), spezielle Backup-Benutzer für die Datensicherung anzulegen.
Die Einsicht bei unseren Anwendern kommt meistens erst dann, wenn ein CryptoLocker die Arbeit von Tagen oder Wochen zerstört hat. Plötzlich ist auch Geld für die Datensicherung und die notwendigen Veränderungen am System vorhanden. Erst nach einen Crypto-Unfall spielen die Kosten (für notwendige Veränderungen bei den Benutzerrechten) keine Rolle mehr, traurig aber wahr
Mit freundlichen Grüßen Andreas
Zitat von @16568:
Öhm, ich rede hier von Trendmicro WorryFree, okay?
Es ist eine Schande, daß avast und AVG den Schädling sofort erkannt haben, aber MS, Symantec, McAffe (*g*) F-Secure, Kaspersky und all die andern großen, KEINER hat das erkannt!
da würde ich gerne wissen von welcher kasperky version du redest, bzw. mit welcher du gearbeitet hast.Zitat von @goscho:
die AV-Programme können wesentlich mehr, als du gesagt bekommen hast und nein, sie arbeiten eben nicht mehr nur signaturbasierend.
Schau dir ein paar AV-Suiten für Firmen an, was diese an Funktionen beinhalten, um genau den Fall, den du hattest, nicht zu bekommen.
die AV-Programme können wesentlich mehr, als du gesagt bekommen hast und nein, sie arbeiten eben nicht mehr nur signaturbasierend.
Schau dir ein paar AV-Suiten für Firmen an, was diese an Funktionen beinhalten, um genau den Fall, den du hattest, nicht zu bekommen.
Öhm, ich rede hier von Trendmicro WorryFree, okay?
Es ist eine Schande, daß avast und AVG den Schädling sofort erkannt haben, aber MS, Symantec, McAffe (*g*) F-Secure, Kaspersky und all die andern großen, KEINER hat das erkannt!
und hast du einen namen von dem crypt virus, trojaner was auch immer...
Ich habe mir extra die Mühe gemacht, VM aufsetzen, und los gehts mit Infektion gegen AV.
Einfach nur peinlich.
Der Crypto-Trojaner fängt fleißig an, Dateien zu verschlüsseln -> wäre ja schon ein Fall für die Erkennung, daß hier was schief läuft.
Bei avast wird so komisches Zeug dann erst mal in die Sandbox verpflanzt. Ob das jetzt das Nonplusultra ist, wage ich nicht zu definieren...
Und wie es die Schadsoftware geschafft hat, sich von einem Client auszubreiten (mittlerweile steht Patient 0 ja fest), und letzten Endes Sicherungsoperatoren-Status zu erhalten (Dienstkonto!), das ist mir leider noch ein Rätsel.
Das Problem ist also noch immer: wie schütze ich ein Backup vor Modifikation?
Irgendwie muß das Backup ja erstellt werden, und wie in meinem Fall muß die Software, welche das erstellt, ja letzten Endes Rechte haben
Lonesome Walker
Einfach nur peinlich.
Der Crypto-Trojaner fängt fleißig an, Dateien zu verschlüsseln -> wäre ja schon ein Fall für die Erkennung, daß hier was schief läuft.
Bei avast wird so komisches Zeug dann erst mal in die Sandbox verpflanzt. Ob das jetzt das Nonplusultra ist, wage ich nicht zu definieren...
Und wie es die Schadsoftware geschafft hat, sich von einem Client auszubreiten (mittlerweile steht Patient 0 ja fest), und letzten Endes Sicherungsoperatoren-Status zu erhalten (Dienstkonto!), das ist mir leider noch ein Rätsel.
Das Problem ist also noch immer: wie schütze ich ein Backup vor Modifikation?
Irgendwie muß das Backup ja erstellt werden, und wie in meinem Fall muß die Software, welche das erstellt, ja letzten Endes Rechte haben
Lonesome Walker
Hallo LonesomeWalker,
mich würde interessieren, welche Version von TrendMicro WFBS Du im Einsatz hast? Wir haben hier WFBS 9.0 SP2 laufen und darin ist ein eigenes Ransomware-Module integriert (Wurde mir SP2 eingeführt). Hier werden Veränderungen am VSS und unerlaubte Verschlüsselungsvorgänge verhindert.
Ich habe mir auch erlaubt das in meiner Testumgebung mit zwei CrypoViren zu testen und beide wurden gleich beim Empfang enttarnt und entfernt, bevor Sie Ihr zerstörerisches Werk starten konnten.
Wobei ich glaube, dass die CryptoViren nicht direkt per Mail kommen sondern erste ein Trojan-Downloader kommt, der den Payload (CrypoVirus) nachzieht.
Generell hat mir der WorryFree Business Security hier schon oft genug angeschlagen und seinen Job mehr als gut erfüllt.
Ich glaube hier auch, dass oft eine "Geschwindigkeitsoptimierung" des Virenscanners zu Lasten der Sicherheit geht.
Außerdem, was nützt der beste Virenscanner, wenn man sein System nicht patcht (Acrobat Reader, Flashplayer etc.).Der Virenscanner ist nur eine Bastion der Sicherheit! Hier greifen Berechtigungsstrukturen, Dienstkonto-Trennung, Patchmanagement, Proxy, Firewall und gesunder Menschenverstand ineinander.
Mich würde auch interessieren, wie der Avast den Virus gefunden hat...hast Du einen Offline-Scan mit einer CD durchgeführt? Dann spräche es ja dafür, dass dein Virenscanner bereits anderweitig kompromittiert wurde und dadurch der Virenscanner den Virus nicht finden konnte.
Grüße,
dng-alt
mich würde interessieren, welche Version von TrendMicro WFBS Du im Einsatz hast? Wir haben hier WFBS 9.0 SP2 laufen und darin ist ein eigenes Ransomware-Module integriert (Wurde mir SP2 eingeführt). Hier werden Veränderungen am VSS und unerlaubte Verschlüsselungsvorgänge verhindert.
Ich habe mir auch erlaubt das in meiner Testumgebung mit zwei CrypoViren zu testen und beide wurden gleich beim Empfang enttarnt und entfernt, bevor Sie Ihr zerstörerisches Werk starten konnten.
Wobei ich glaube, dass die CryptoViren nicht direkt per Mail kommen sondern erste ein Trojan-Downloader kommt, der den Payload (CrypoVirus) nachzieht.
Generell hat mir der WorryFree Business Security hier schon oft genug angeschlagen und seinen Job mehr als gut erfüllt.
Ich glaube hier auch, dass oft eine "Geschwindigkeitsoptimierung" des Virenscanners zu Lasten der Sicherheit geht.
Außerdem, was nützt der beste Virenscanner, wenn man sein System nicht patcht (Acrobat Reader, Flashplayer etc.).Der Virenscanner ist nur eine Bastion der Sicherheit! Hier greifen Berechtigungsstrukturen, Dienstkonto-Trennung, Patchmanagement, Proxy, Firewall und gesunder Menschenverstand ineinander.
Mich würde auch interessieren, wie der Avast den Virus gefunden hat...hast Du einen Offline-Scan mit einer CD durchgeführt? Dann spräche es ja dafür, dass dein Virenscanner bereits anderweitig kompromittiert wurde und dadurch der Virenscanner den Virus nicht finden konnte.
Grüße,
dng-alt