Backup beschermen tegen ransomware

woensdag 23 augustus 2023 11:21

Acties:

0 Henk 'm!

Topicstarter

Beste medetweakers,

Ik ben bezig met het inrichten van een soort backup van mijn belangrijkste mappen op mijn laptop (documenten en afbeeldingen). Een echt goede backup vind natuurlijk buiten huis plaats maar als mijn hele huis afbrand dan staan een klein setje van echt belangrijke zaken ook nog in Google Drive.

Ik heb het als volgt ingericht. In mijn meterkast hangt een raspberry pi 4 met daaraan gekoppeld een externe ssd van 2 TB.

Op mijn laptop heb ik WinSCP geïnstalleerd en daarmee scripts gemaakt om de mappen te synchroniseren naar de RPI (hij doet alleen toevoegen/wijzigingen op de target maar niet verwijderen). Hiervoor heb ik bewust gekozen zodat mijn backup locatie niet zichtbaar is in de Windows verkenner en een eventueel virus die dus niet zomaar kan zien.

Ik draai Windows onder een normale user en voor admin zaken moet ik een apart wachtwoord opgeven zodat dingen installeren niet zomaar gaat.

Mijn vraag is nu, is mijn backup nu voldoende beveiligd tegen een ransomware? Want bij een infectie worden alle bestanden toch hernoemd naar wat anders? En in dat geval worden die bestanden gewoon naastnde andere gezet wanneer de synchronisatie weer draait?

Of zie ik iets over het hoofd? Of kan ik er op een of andere manier voor zorgen dat de bestanden op de rpi immutable worden ofzo?

Graag zou ik jullie gedachten hierover horen.

Alvast dank voor het meedenken.

woensdag 23 augustus 2023 11:43

Rannasha

Does not compute.

Niet alle ransomware hernoemt bestanden. Het is ook mogelijk dat bestanden in-place versleuteld worden. En in dat geval ben je, als je niet oplet, je goede backups aan het overschrijven met versleutelde bestanden.

Om het nog wat vervelender te maken, ransomware kan in principe je bestanden versleutelen maar een tijd lang doen alsof er niets aan de hand is door als een soort doorgeefluik op je computer actief te zijn en iedere keer dat je een bestand opent het eerst te ontsleutelen. Zo kunnen je bestanden dus al een tijdje versleuteld zijn voordat je het ransom-bericht krijgt en de boel echt niet meer toegankelijk is. En al die tijd heb je de versleutelde bestanden naar je backup zitten schrijven.

Er zijn een aantal dingen die je kunt doen om je in te dekken. Bijvoorbeeld een controle uitvoeren dat bestanden niet gewijzigd zijn. Je neemt een bestand waarvan je weet dat deze niet verandert, maar van een bestandstype dat wel door ransomware wordt gepakt. Bijvoorbeeld een foto of een dummy-document dat je speciaal voor dit doeleinde aanmaakt. Van dit bestand bepaal je de hash-waarde (zijn simpele tooltjes voor) en die sla je ergens op.

Wanneer je een nieuwe backup maakt, bereken je de hash-waarde van het bestand opnieuw en vergelijk je die met de oorspronkelijk. Ze moeten hetzelfde zijn. Deze check kun je op de RPi automatisch laten uitvoeren. Windows malware zal het besturingssysteem van je RPi niet aantasten, dus deze check is redelijk veilig.

Een andere optie is het gebruiken van een NAS-achtige oplossing met een bestandssysteem als ZFS. ZFS laat je "snapshots" maken van je bestandssysteem. Deze snapshots slaan alleen de wijzigingen op die er zijn gemaakt sinds de snapshot was gemaakt. Zolang je bestanden hetzelfde blijven, nemen snapshots geen ruimte in. Maar zodra alle bestanden opeens versleuteld zijn, wordt het snapshot een stuk groter. Dit kun je bijhouden als controle. Je kunt daarnaast met ZFS altijd terug naar een eerder snapshot, en dus eventuele wijzigingen ongedaan maken. Snapshots zijn read-only, dus vormen een extra beveiligingslaag tegen ransomware.

|| Vierkant voor Wiskunde ||

woensdag 23 augustus 2023 11:28

Acties:

0 Henk 'm!

Mavamaarten

Omdat het kan!

Ik denk niet dat je voldoende beschermd bent. De reden is simpel: je Pi draait steeds, en je schijf is ook steeds gekoppeld. Een simpele scan van je netwerk zal ook wel die Pi naar boven brengen, en dat is dan meteen een interessant doelwit om (ook) te infecteren. Je Pi versleutelt in zo'n geval vrolijk je bestaande backup.

Android developer & dürüm-liefhebber

woensdag 23 augustus 2023 11:28

Acties:

+1 Henk 'm!

UTwizard

Dat je backup locatie wel of niet zichtbaar is in de Explorer maakt de meeste virussen helaas niks uit. Die zoeken gewoon je netwerk af en zullen alles vinden wat in je netwerk een IP adres heeft.

De vraag is meer, hoe is de backup op je RPI überhaupt beveiligd? Kun je zonder een wachtwoord in te vullen je backup naar je RPI draaien? Want dan kan een virus namelijk ook zonder wachtwoord bij die data. Daarnaast is in sommige gevallen een admin-wachtwoord ook simpelweg te hashen of zelfs te bruteforcen als het makkelijke wachtwoorden zijn.

woensdag 23 augustus 2023 11:29

Acties:

+1 Henk 'm!

Puch-Maxi

Wil je echt zeker zijn dan zou ik periodiek ook een offline back-up maken

.

My favorite programming language is solder.

woensdag 23 augustus 2023 11:43

Acties:

0 Henk 'm!

peter-rm

bescherming tegen ransomware begint met heel zuinig te zijn met schrijfrechten. in mijn nas hebben de mappen met eigen foto's en belangrijke documenten alleen leesrechten. Als ik hier periodiek wat aan wil toevoegen, dan geef ik een speciaal account (even) schrijfrechten om nieuwe bestanden er naar toe te kunnen kopieren, waarna de schrijfrechten weer verwijderd worden. Uiteraard heeft mijn standaard account geen adminrechten op de nas.
op deze manier hoop ik een sluis te creeren die ransomware niet propageert. Daarnaast heb ik (handmatig) scrpits voor een back-up naar een remote nas

woensdag 23 augustus 2023 11:43

Acties:

Beste antwoord ✓
+5 Henk 'm!

Rannasha

Does not compute.

Niet alle ransomware hernoemt bestanden. Het is ook mogelijk dat bestanden in-place versleuteld worden. En in dat geval ben je, als je niet oplet, je goede backups aan het overschrijven met versleutelde bestanden.

Om het nog wat vervelender te maken, ransomware kan in principe je bestanden versleutelen maar een tijd lang doen alsof er niets aan de hand is door als een soort doorgeefluik op je computer actief te zijn en iedere keer dat je een bestand opent het eerst te ontsleutelen. Zo kunnen je bestanden dus al een tijdje versleuteld zijn voordat je het ransom-bericht krijgt en de boel echt niet meer toegankelijk is. En al die tijd heb je de versleutelde bestanden naar je backup zitten schrijven.

Er zijn een aantal dingen die je kunt doen om je in te dekken. Bijvoorbeeld een controle uitvoeren dat bestanden niet gewijzigd zijn. Je neemt een bestand waarvan je weet dat deze niet verandert, maar van een bestandstype dat wel door ransomware wordt gepakt. Bijvoorbeeld een foto of een dummy-document dat je speciaal voor dit doeleinde aanmaakt. Van dit bestand bepaal je de hash-waarde (zijn simpele tooltjes voor) en die sla je ergens op.

Wanneer je een nieuwe backup maakt, bereken je de hash-waarde van het bestand opnieuw en vergelijk je die met de oorspronkelijk. Ze moeten hetzelfde zijn. Deze check kun je op de RPi automatisch laten uitvoeren. Windows malware zal het besturingssysteem van je RPi niet aantasten, dus deze check is redelijk veilig.

Een andere optie is het gebruiken van een NAS-achtige oplossing met een bestandssysteem als ZFS. ZFS laat je "snapshots" maken van je bestandssysteem. Deze snapshots slaan alleen de wijzigingen op die er zijn gemaakt sinds de snapshot was gemaakt. Zolang je bestanden hetzelfde blijven, nemen snapshots geen ruimte in. Maar zodra alle bestanden opeens versleuteld zijn, wordt het snapshot een stuk groter. Dit kun je bijhouden als controle. Je kunt daarnaast met ZFS altijd terug naar een eerder snapshot, en dus eventuele wijzigingen ongedaan maken. Snapshots zijn read-only, dus vormen een extra beveiligingslaag tegen ransomware.

|| Vierkant voor Wiskunde ||

woensdag 23 augustus 2023 11:59

Acties:

0 Henk 'm!

Hetisweergezell

Topicstarter

Rannasha schreef op woensdag 23 augustus 2023 @ 11:43:
Niet alle ransomware hernoemt bestanden. Het is ook mogelijk dat bestanden in-place versleuteld worden. En in dat geval ben je, als je niet oplet, je goede backups aan het overschrijven met versleutelde bestanden.

Om het nog wat vervelender te maken, ransomware kan in principe je bestanden versleutelen maar een tijd lang doen alsof er niets aan de hand is door als een soort doorgeefluik op je computer actief te zijn en iedere keer dat je een bestand opent het eerst te ontsleutelen. Zo kunnen je bestanden dus al een tijdje versleuteld zijn voordat je het ransom-bericht krijgt en de boel echt niet meer toegankelijk is. En al die tijd heb je de versleutelde bestanden naar je backup zitten schrijven.

Er zijn een aantal dingen die je kunt doen om je in te dekken. Bijvoorbeeld een controle uitvoeren dat bestanden niet gewijzigd zijn. Je neemt een bestand waarvan je weet dat deze niet verandert, maar van een bestandstype dat wel door ransomware wordt gepakt. Bijvoorbeeld een foto of een dummy-document dat je speciaal voor dit doeleinde aanmaakt. Van dit bestand bepaal je de hash-waarde (zijn simpele tooltjes voor) en die sla je ergens op.

Wanneer je een nieuwe backup maakt, bereken je de hash-waarde van het bestand opnieuw en vergelijk je die met de oorspronkelijk. Ze moeten hetzelfde zijn. Deze check kun je op de RPi automatisch laten uitvoeren. Windows malware zal het besturingssysteem van je RPi niet aantasten, dus deze check is redelijk veilig.

Een andere optie is het gebruiken van een NAS-achtige oplossing met een bestandssysteem als ZFS. ZFS laat je "snapshots" maken van je bestandssysteem. Deze snapshots slaan alleen de wijzigingen op die er zijn gemaakt sinds de snapshot was gemaakt. Zolang je bestanden hetzelfde blijven, nemen snapshots geen ruimte in. Maar zodra alle bestanden opeens versleuteld zijn, wordt het snapshot een stuk groter. Dit kun je bijhouden als controle. Je kunt daarnaast met ZFS altijd terug naar een eerder snapshot, en dus eventuele wijzigingen ongedaan maken. Snapshots zijn read-only, dus vormen een extra beveiligingslaag tegen ransomware.
toon volledige bericht

Een check van te voren (van een aantal bestanden in verschillende mappen) lijkt me inderdaad wel een goede oplossing. Ik kan in het script aan de Windows kant al opnemen dat hij die check gaat doen. Faalt deze dan wordt de synchronisatie gewoon niet gestart (en wordt er ook geen verbinding met de Pi gemaakt).

Verder zal ik ook eens in ZFS duiken. Dat is misschien nog wel beter inderdaad!

woensdag 23 augustus 2023 14:01

Acties:

0 Henk 'm!

Hetisweergezell

Topicstarter

Ten eerste dank allemaal voor jullie snelle reacties! Deze hebben mij geïnspireerd om nog even verder te kijken.

Ik ben nog even iets dieper in WinSCP gedoken en daarbij heb ik voor mijn foto's in ieder geval een oplossing gevonden.

synchronize remote "C:\Documents\Test\" /mnt/usb/backup/test -criteria=none

Die -criteria=none zorgt ervoor dat alleen nieuwe bestanden worden meegenomen. Heb even getest door een bestandje aan te maken en te synchroniseren. Heb daarna het bestand gewijzigd en weer opnieuw proberen te synchroniseren. Bij de tweede synchronisatie zegt hij dat er niets te synchroniseren valt.

Over documenten die wel regelmatig wijzigen zal ik nog even verder na denken.

woensdag 23 augustus 2023 14:38

Acties:

0 Henk 'm!

Marc H

- - Is wakker - -

Ik zou, naast je lokale back-up ook een cloud back-up aanraden. Om alles in de cloud te stoppen is misschien wat overdreven, maar voor frequent gewijzigde bestanden zou het een goede toevoeging zijn,vanwege dat cloud ook oudere versies van het bestand bewaren.

Ik maak geen fouten, ik creëer leer momenten.

woensdag 23 augustus 2023 17:09

Acties:

0 Henk 'm!

honey

@Rannasha

Wanneer je een nieuwe backup maakt, bereken je de hash-waarde van het bestand opnieuw en vergelijk je die met de oorspronkelijk.

Ik ben zelf ook aan het zoeken naar een oplossing. Het probleem is dat als je 10TB aan data wilt vergelijken dat het eindeloos duurt.

Lastig ...

Specs van pc

woensdag 23 augustus 2023 17:14

Acties:

+1 Henk 'm!

Rannasha

Does not compute.

honey schreef op woensdag 23 augustus 2023 @ 17:09:
@Rannasha

[...]

Ik ben zelf ook aan het zoeken naar een oplossing. Het probleem is dat als je 10TB aan data wilt vergelijken dat het eindeloos duurt.

Lastig ...

Daarom zou je er voor kunnen kiezen om een aantal bestanden als "honeypots" te gebruiken. Je berekent enkel de hash-waardes van die bestanden. Deze bestanden kunnen bestanden zijn uit je reguliere dataset of dummy-bestanden die je speciaal voor dit doeleinde maakt. Kies er een paar met bestandstypes die door ransomware worden uitgekozen (foto's, video's, muziek, documenten, ...).

Een andere optie, die wellicht wat ingewikkelder is om op te zetten is om enkel de eerste X kB van ieder bestand te hashen. Maar ik weet niet of hier standaard tools of scripts voor zijn.

|| Vierkant voor Wiskunde ||

woensdag 23 augustus 2023 19:40

Acties:

0 Henk 'm!

honey

Rannasha schreef op woensdag 23 augustus 2023 @ 17:14:
[...]

Daarom zou je er voor kunnen kiezen om een aantal bestanden als "honeypots" te gebruiken. Je berekent enkel de hash-waardes van die bestanden. Deze bestanden kunnen bestanden zijn uit je reguliere dataset of dummy-bestanden die je speciaal voor dit doeleinde maakt. Kies er een paar met bestandstypes die door ransomware worden uitgekozen (foto's, video's, muziek, documenten, ...).

Een andere optie, die wellicht wat ingewikkelder is om op te zetten is om enkel de eerste X kB van ieder bestand te hashen. Maar ik weet niet of hier standaard tools of scripts voor zijn.

Een goed idee om een deel van de data te vergelijken en niet alles! Dat scheelt wel.

Verder af en toe alles vergelijken blijft wel relevant, gezien bit-rot toch foto's en data heeft aangetast.

Specs van pc

woensdag 23 augustus 2023 19:56

Acties:

0 Henk 'm!

Zakkenwasser

Ransomeware is iets waar ik me ook zorgen om maak.

De laptop die ik gebruik om mijn video en foto’s naar NAS (btrfs) en andere externe locatie’s te sturen, scan ik regelmatig met Avast Free en Windows defender. Ik voer ook regelmatig updates uit. Daarnaast staan NAS en de andere externe locaties (hdd’s, ssd’s) alleen aan als ik een backup maak. Verder gebruik ik mijn laptop niet voor andere zaken.

Ik ben nog geen vreemde dingen tegen gekomen.
Ik moet wel nog gaan data scrubben maar durf dit pas te gaan doen zodra ik een UPS heb voor mijn NAS.

Internet, email en downloaden doe ik op mijn iPhone 13

[ Voor 15% gewijzigd door Zakkenwasser op 23-08-2023 20:02 ]

PSP 1000 @ 6.60 Pro C2 [+256GB]
PSVita @ Henkaku Enso [+256GB]
3DS @ Luma (B9S) [+160GB]
Nintendo Switch 3.0.1 [+256GB]

donderdag 24 augustus 2023 08:07

Acties:

0 Henk 'm!

Wylana

Vreemd te zien dat vele een copy job als backup zien.

Ikzelf ben enthousiast gebruiker van Veeam en dit werkt zeer goed. Veeam Free Agent is prima om een lokale backup gratis in te richten. Mocht je meer zekerheid willen hebben, zijn er ook betaalde versies die meer beveiliging bieden.

Tevens hebben zij gratis backup tools voor Office 365 maar die is wel beperkt in het aantal items dat je kan backuppen.

Zelf maak ik op deze manier mijn backup met Veeam naar mijn nas, die deze weer upload naar mijn eigen OneDrive repository.

En voor de liefhebbers, er is ook een free age t voor Linux beschikbaar.

Ik ben steenrijk....ik heb een grindpad!

donderdag 24 augustus 2023 09:00

Acties:

0 Henk 'm!

UTwizard

Wylana schreef op donderdag 24 augustus 2023 @ 08:07:
Vreemd te zien dat vele een copy job als backup zien.

Ikzelf ben enthousiast gebruiker van Veeam en dit werkt zeer goed. Veeam Free Agent is prima om een lokale backup gratis in te richten. Mocht je meer zekerheid willen hebben, zijn er ook betaalde versies die meer beveiliging bieden.

Tevens hebben zij gratis backup tools voor Office 365 maar die is wel beperkt in het aantal items dat je kan backuppen.

Zelf maak ik op deze manier mijn backup met Veeam naar mijn nas, die deze weer upload naar mijn eigen OneDrive repository.

En voor de liefhebbers, er is ook een free age t voor Linux beschikbaar.

Waarom vreemd? Een backup is een kopie van data in welke vorm dan ook, dat kan een rechtstreekse kopie zijn, dat kan een encrypted file zijn op een WORM tape, dat kan een kopie in de cloud zijn.

Dat een rechtstreekse kopie niet goed beschermd is tegen bijv Ransomware, dat klopt inderdaad.

Maar je lokale Veeam backups gaan je helaas ook niet helpen op het moment dat je een Ransomware virus actief hebt in je netwerk. Je NAS wordt namelijk ook gewoon een target voor de Ransomware die daarna dan ook nog de encrypted bestanden upload naar je OneDrive.

donderdag 24 augustus 2023 09:20

Acties:

0 Henk 'm!

Wylana

UTwizard schreef op donderdag 24 augustus 2023 @ 09:00:
[...]

Waarom vreemd? Een backup is een kopie van data in welke vorm dan ook, dat kan een rechtstreekse kopie zijn, dat kan een encrypted file zijn op een WORM tape, dat kan een kopie in de cloud zijn.

Dat een rechtstreekse kopie niet goed beschermd is tegen bijv Ransomware, dat klopt inderdaad.

Dat klopt wat je zegt, maar we mogen toch op een technisch vlak ervan uit gaan dat als men een backup inricht dat men dat goed en beveiligd wilt hebben. Vandaar mijn mening dat ik simpel een kopie maken niet als backup zie. Maar je statement is zeker niet onterecht.

UTwizard schreef op donderdag 24 augustus 2023 @ 09:00:
[...]
Maar je lokale Veeam backups gaan je helaas ook niet helpen op het moment dat je een Ransomware virus actief hebt in je netwerk. Je NAS wordt namelijk ook gewoon een target voor de Ransomware die daarna dan ook nog de encrypted bestanden upload naar je OneDrive.

Dat is misschien gedeeltelijk waar. Waar de simpele copy job die nu gebruikt wordt geen herstel mogelijkheden bied van vorige versies (ervan uitgaande dat zaken als btrfs, Previous Versions of Prullebak versies niet gebruitk worden), bied Veeam wel opties om je bestanden tot een x aantal dagen terug te kunnen herstellen.
Dus als jij merkt dat je bestanden versleuteld zijn, dan kan je altijd nog terug naar een x aantal dagen waarbij ze (hopelijk) nog niet versleuteld zijn. Met Veeam (en andere backup producten ongetwijfeld) gaat dit zeer snel en gemakkelijk.
En daarnaast heeft de Free Agent for Windows ook Cryptolocker bescherming functies ingebouwd.

Zie: https://www.veeam.com/nl/...ws-community-edition.html

Ik ben steenrijk....ik heb een grindpad!

donderdag 24 augustus 2023 12:46

Acties:

+1 Henk 'm!

vanaalten

Wylana schreef op donderdag 24 augustus 2023 @ 09:20:
Dat klopt wat je zegt, maar we mogen toch op een technisch vlak ervan uit gaan dat als men een backup inricht dat men dat goed en beveiligd wilt hebben. Vandaar mijn mening dat ik simpel een kopie maken niet als backup zie. Maar je statement is zeker niet onterecht.

Ik denk dat het beter is om 'backup' niet zo eenzijdig te bekijken.
Zo moet je, vind ik, eerst bepalen waartegen je je beschermt: harddisk falen? Of ransomware? Of huis dat afbrandt? Of gebruiker die per ongeluk een foute update opslaat? Voor elke dreiging kan je een andere oplossing vinden, on/off-site, checksum-checks, versioning, enzovoorts.

En dan daarnaast nadenken over hoe gevoelig de data ligt. Gaat het om een ziekenhuis z'n patientgegevens, of je eigen trouwfoto's, of de TV-series die je gedownload hebt? Voor elke gevoeligheid is weer een andere oplossing te vinden. Een on-site kopie naar externe harddisk van je trouwfoto's hoef je wellicht niet te beveiligen, maar een off-site storage van patientengegevens zou ik meer willen dan een wachtwoord van zes tekens.

Dus bij een statement als

Vreemd te zien dat vele een copy job als backup zien

denk ik: daar kan je niet over oordelen als je de gemaakte afwegingen niet kent.

donderdag 24 augustus 2023 21:57

Acties:

0 Henk 'm!

jimh307

Dan is een betaalde versie van OneDrive met Office 365 een heel goede keus. Ten eerste omdat je OneDrive tot 30 dagen kunt laten terugrollen en ten tweede heb je 1 TB opslag.
Mocht OneDrive uitvallen dan heb ik ook nog een kopie van alles in Google Cloud staan.
Dan werk ik met fysieke bestanden op mijn systemen en die zijn wel gesynchroniseerd, maar staan lokaal op alle systemen.
Ben zelf nog nooit iets kwijtgeraakt aan belangrijke kritische data. In totaal heb ik dus 4 kopieën welke alle zeer regelmatig worden bijgewerkt. De compressie-archieven zijn daarnaast versleuteld (data voor bedrijf, zakelijke belangen en eigen administratie). De compressie-archieven staan op een bepaalde plek die ik niet noem

Daarnaast moet je zakelijke systemen niet alleen goed beveiligen want een beveiliging valt in het niet als je er niet mee om kunt gaan, dus mijn personeel wordt regelmatig bijgeschoold.
Voer altijd encryptie uit als je een back-up maakt en kies een goed wachtwoord welke je regelmatig aanpast met een algoritme die je kunt onthouden. Worden de archieven buitgemaakt dan kun je er onmogelijk inkomen en laat staan uitpakken. Oudere archieven worden bij elke nieuwe back-up gecontroleerd op fouten die 2 weken teruggaan.

De meeste hier doen het allemaal keurig, maar geloof me dat er heel veel leed is van mensen die geen back-up maken en wiens computer er mee uitscheidt. Had ik maar...

Doe je het echt professioneel dan maak je nooit een back-up op dezelfde tijd in de week. Afluisteren wordt zo ook moeilijker.

Vraag

Beste antwoord (via Hetisweergezell op 23-08-2023 12:14)

Alle reacties