Jump to content

SUBIECTE NOI
« 1 / 5 »
RSS
Cum accesez site-ul CNAS ?

Algoritm simplu de calculare al u...

Bitdefender Total Security ș...

casa verde 2024
 Intrerupator cu N - doza doar cu ...

Incalzire casa fara gaz/lemne

Incalzire in pardoseala etapizata

Suprataxa card energie?!
 Cum era nivelul de trai cam din a...

probleme cu ochelarii

Impozite pe proprietati de anul v...

teava rezistenta panou apa calda
 Acces in Curte din Drum National

Sub mobila de bucatarie si sub fr...

Rezultat RMN

Numar circuite IPAT si prindere t...
 

Solutie backup si anti-ransomware

- - - - -
  • Please log in to reply
49 replies to this topic

#1
Bylly00

Bylly00

    Senior Member

  • Grup: Senior Members
  • Posts: 3,729
  • Înscris: 27.06.2015
Salutare.

https://foaiatransil...erii-din-rusia/

E o stire ce reflecta realitatea din companiile romanesti. Suntem foarte prost pregatiti in fata unor astfel de evenimente care pot bloca activitatea si pot genera pierderi de neconceput.

Eu nu lucreaz intr-o firma de talia acesteia, am 3 puncte de lucru mici dar nici nu vreau sa-mi inchipui ce ar insemna sa pierdem baze de date din cauza asta. Ceva tangente cu domeniul IT am, adica tot ce inseamna calculator e asamblat si intretinut de mine, am grija ca aceste calculatoare sa aiba strictul necesar in materie de soft, un antivirus (free) + update uri la zi si nimeni nu descarca/instaleaza programe fara sa aprobarea mea. De asemenea, navigatul pe net se rezuma strict la cautari pe google legate de produsele ce tin de aria noastra de lucru, deci sansele sunt destul de slabe ca cineva sa descarce programe mailitoase.

Nu inteleg exact cum se propaga ransomware-ul dar sunt destul de sigur ca are de-a face cu siteuri dubioase, emailuri la fel de dubioase sau mesaje prin diverse canale de comunicare - ati ghicit - DUBIOASE. Sa zicem ca in mare parte sunt acoperit din acest punct de vedere, dar daca vreau sa dorm cu adevarat linistit trebuie sa am si backup.

Daca tot ma apuc de treaba m-am gandit si la backup la backup. Adica, primar - pun un hard-disk in serverul din fiecare punct de lucru si folosesc un program (freefile sync) pentru a face backup zilnic in acel hard disk local (adica am o locatie unde se face mirroring la baza de date a softului de gestiune).

Aici iar este o nebuloasa pentru mine - daca "prind" un ransomware - nu va afecta el si acest backup ? Aici mai intra si eventualitatea in care cineva fura calculatorul respectiv - rezultatul este acelasi.

De aceea m-am gandit la stadiul 2 - backup off-site. Eu am un calculator acasa ce functioneaza 24/7, are OMV instalat pe el (o distributie de linux care il transforma intr-un soi de NAS) si am si un server FTP acolo. Am incercat sa folosesc Freesync pentru a face backup pe acel NAS, dar m-am lovit de urmatoarea problema:

- latimea de banda la upload este foarte mica in aceste puncte de lucru si nu pot umbla momentan la acest capitol;
- zilnic sunt modificate fisiere care insumeaza 5-6 gb. Programul ar vrea sa transfere tot fisierul si atunci ma aleg cu acest volum de trafic; dar nu exista un program mai eficient care sa transfere doar modificarile la nivel de fisier ? Adica sa zicem ca azi am scris 50mb intr-un fisier de 2gb - el sa compare fisierele si sa actualizeze fisierul backup facand transfer de 50mb ?

In final intrebarea mea este - in ce masura pot fi corupte si fisierele backup (local sau nu) daca a fost corupt serverul sursa? Unii spun ca in momentul in care ransomware-ul a pus stapanire pe gazda, activitatea calculatorului este blocata => programul de backup nu mai poate functiona si astfel backupul nu poate fi suprascris cu fisiere corupte.

Am cautat pe net chestiile astea inainte sa deschid threadul, dar nu am reusit sa ma edific in totalitate. Va multumesc pentru ajutor.

#2
silverflower

silverflower

    Anti-dogmatic

  • Grup: Senior Members
  • Posts: 4,828
  • Înscris: 04.05.2008
- Probabil știi, dar chiar W10 are inclus un anti-ransomware, dar vine implicit neactivat. După pornire protejează directoarele obișnuite (My Documents, etc.) și orice director îl pui, de ex. D:\Firma-proiecte. Problema este că va fi sîcîitor pentru angajați, trebuie adm. și te întreabă mereu cînd vrei să modifici ceva pe acolo, sau să salvezi cu un alt nume.

Edited by silverflower, 05 April 2021 - 10:54.


#3
Leo2006

Leo2006

    Guru Member

  • Grup: Senior Members
  • Posts: 10,486
  • Înscris: 30.08.2006
Ai nevoie de un backup incremental. Salvari zilnice cu modificarile aparute in 24 ore. Nu am auzit si nici nu are cum sa existe backup incremental la nivel de continut de fisier.

Se pare ca exista si se numeste  ''Block-level incremental backups''.
AOMEI Backupper Standard ar avea acest mod de backup la nivel de continut de fisier.

Edited by Leo2006, 05 April 2021 - 11:05.


#4
mannick

mannick

    Senior Member

  • Grup: Senior Members
  • Posts: 2,007
  • Înscris: 08.08.2018
Pentru genul asta de probleme (viteze de upload din secolul trecut), backup-ul pe banda este cea mai buna solutie. Cu putina planificare, esti beton in fata atacurilor ransomware. Exista si varianta backup-ului pe hardisk-uri dedicate, realizate de script-uri sub contul de administrator, pe volume NTFS, dar trebuie sa ai multa grija cu drepturile pe care le au userii.

#5
sags

sags

    Senior Member

  • Grup: Senior Members
  • Posts: 9,848
  • Înscris: 24.04.2013
Pentru transfer bucati modificate din fisiere mari altfel nemodificate incearca rsync <https://linux.die.net/man/1/rsync>. Nu l-am folosit, dar din ce stiu e optimizat in acest scop.

Intr-adevar data te loveste un cryptolocker acesta va afecta si orice copie locala si poate afecta inclusiv fisierul de backup. De asemenea poate afecta orice fisier la care exista acces. Unii isi inchipuie ca e o solutie daca fac backup automat pe un hdd extern, pe care vrand nevrand il tin conectat 100% din timp (ca sa fie disponibil cand intra backup-ul automat), dar nu e asa fiinca si cryptolockerul are acces la acel hdd. Deci ai grija sa pastrezi mai multe copii din urma, ca pana iti dai seama ca te-a lovit se salveaza firsiere inutilizabile. LA fel cu sincronizarea in cloud, poate sincroniza fisiere gata criptate inlocuind versiunile mai vechi dar utilizabile.

Din ce am citit, ransomware-ul NU blocheaza pur si simplu activitatea calculatorului gazda - daca ar face-o nu ai mai putea plati! Si oricum nu asta e marea problema ca ai muta hdd-ul in alt PC ca disc secundar si ai putea sa il citesti. Ai putea de asemenea reinstala totul de la zero. Insa documentele de interes (poze, documente office, baze de date, etc, etc) sunt inutilizabile.

LE: Speram intr-o versiune GNUWin32 rsync pentru Windows, dar se pare ca nu exista. Poate WSL2 din Windows 10 sau poate Cygwin sa iti permita sa il rulezi pe Windows.

Edited by sags, 05 April 2021 - 11:13.


#6
danvlas

danvlas

    Guru Member

  • Grup: Senior Members
  • Posts: 11,118
  • Înscris: 04.06.2009
Backupul eficient e cel la care sistemul afectat nu are acces de scriere. Odata facut, backupul mutat pe ceva read-only, cat mai persistent. In nici un caz cu inlocuire de fisiere, ca daca ti-a suprascris backupul vechi (si bun) cu versiunea noua de fisier (cel criptat), ai pus-o.

Cryptolockerul nu-ti strica nici PC-ul si nici datele. Doar iti cripteaza toate datele si-ti da cheia privata numai contra cost. Se poate considera "taxa pe neglijenta".

#7
smoke

smoke

    Senior Member

  • Grup: Senior Members
  • Posts: 3,680
  • Înscris: 08.10.2004
cel mai simplu sa protejezu back-upul de ransomware e sa folosesti un sistem de bakup ce nu e bazat pe windows.

#8
sags

sags

    Senior Member

  • Grup: Senior Members
  • Posts: 9,848
  • Înscris: 24.04.2013
… sau sa faci backup pe un mediu care nu poate fi suprascris, cum ar fi DVD+/-R sau BD-R. Bonus: o copie din acestea o poti tine off-site, pentru situatii de genul incendiu.

Edited by sags, 05 April 2021 - 11:41.


#9
PiticVerde

PiticVerde

    Senior Member

  • Grup: Senior Members
  • Posts: 3,725
  • Înscris: 12.09.2015

View PostBylly00, on 05 aprilie 2021 - 10:27, said:

Unii spun ca in momentul in care ransomware-ul a pus stapanire pe gazda, activitatea calculatorului este blocata => programul de backup nu mai poate functiona si astfel backupul nu poate fi suprascris cu fisiere corupte.
Intradevar asa este in majoritatea cazurilor dar nu si obligatoriu complet.Dar si Ransomware este de mai multe tipuri si nu toate aceste versiuni de malware se comporta exact la fel.Sunt versiuni care cripteaza anumite fisiere gen poze sau sunt versiuni care blocheaza accesul total al utilizatorului,dar in final toate cer un singur lucru: bani. Din experienta mea cea mai buna protectie o ofera Bitdefender Total sau Internet(nu mi-a venit niciodata un calculator infectat cu aceste suite antivirus,protectia proactiva este impecabila).Cea mai mare dezamagire a mea fost Kasperkey(aveam pretentii la ce istorie are).Tot din experienta mea , pe un pc cu un utilizator mediu sau incepator antivirusii AVG,Avast ,Avira ,Defender windows 10 sau 8 ,nu ofera nici o protectie la acest tip de amenintare ,ba cateodata parca sunt magneti pentru asa ceva.

Edited by PiticVerde, 05 April 2021 - 12:08.


#10
Bylly00

Bylly00

    Senior Member

  • Grup: Senior Members
  • Posts: 3,729
  • Înscris: 27.06.2015
"Probabil știi, dar chiar W10 are inclus un anti-ransomware, dar vine implicit neactivat." - Nu stiam, l-am activat, voi vedea cum functioneaza si daca intr-adevar ingreuneaza mult activitatea.

"Pentru transfer bucati modificate din fisiere mari altfel nemodificate incearca rsync <https://linux.die.net/man/1/rsync>. Nu l-am folosit, dar din ce stiu e optimizat in acest scop."

Stiu de aceasta aplicatie, o am instalata pe serverul OMV, dar nu stiu cum sa o folosesc din Windows. Daca ai putea sa ma ajuti cu ceva resurse relevante pentru a-l face sa functioneze sub win10 as fi foarte recunoscator. A nu se intelege ca daca am instalat OMV as avea prea mult habar de linux, m-am chinuit mult cu tutoriale pe youtube si m-a ajutat la fel de mult si fratele meu, care mai stie una alta, fiind programator.

Eu am pus un HDD de 1tb intr-un caddy si l-am plimbat pe la fiecare punct de lucru, astfel am copiat ce era de baza si ma gandeam ca folosind un programel de tipul rsync, fac sincronizare in fiecare zi.

"Backupul eficient e cel la care sistemul afectat nu are acces de scriere. Odata facut, backupul mutat pe ceva read-only, cat mai persistent."

De acord, nimic de zis, problema e ca nu pot sta sa ard cd-uri dvduri toata ziua, imi trebuie o solutie automata, ceva de genul set&forget.

Gandidu-ma la faptul ca si backup poate fi suprascris cu fisiere criptate mi-am dat seama ca cel mai sanatos ar fi un soft care face versionare (nu stiu daca e termenul corect). Stiu ca acest freefyle sync face treaba asta, oare si Rsync stie?

Ma gandesc demult la necesitatea unui backup solid, dar am tot amanat din lipsa de timp; in ultima vreme insa am auzit tot felul de povesti horror chiar de la colaboratori. Unul dintre ei a patit-o prin ianuarie si nici acum nu si-a revenit complet.

Pana la urma mare parte din cei afectati ar plati cu draga inima 1000-2000-5000-10000 E pentru a-si recupera datele, dar iata ca in cazul de care am pomenit nu a primit nici mail, nici nimic, deci chiar daca ar fi vrut sa plateasca, nu avea cui. Probabil toolurile astea cad si in mainile unor oameni care chiar nu stiu sa le foloseasca si in final produc doar pagube, nimeni nu are nimic de castigat.

#11
danvlas

danvlas

    Guru Member

  • Grup: Senior Members
  • Posts: 11,118
  • Înscris: 04.06.2009
Atacatorii nu stau sa monitorizeze victimele prea mult timp. Lanseaza atacul, colecteaza ce pot intr-un timp determinat, apoi dispar. Pana dispar, unii mai catadicsesc sa livreze cheia privata, altii nu.
E interesanta observatia ca unii ar plati intre 1000 si 10.000 euro ca sa-si recupereze datele. Ei bine, aceiasi oameni nu sunt dispusi sa investeasca acea suma in securitate si educatie informatica.

#12
PiticVerde

PiticVerde

    Senior Member

  • Grup: Senior Members
  • Posts: 3,725
  • Înscris: 12.09.2015
Am intalnit versiuni care blocau complet pc-ul si pe ecran era un mesaj cu un numar de cont si specificat ca este necesara efectuarea unei anumite sume de bani pentru deblocare.Safe Mode era complet ineficient si inadecvat.Formatarea hard era complet ineficienta si ea,la reinstalarea Sistemului de operare problema era prezenta,deci formatarea in unele cazuri nu rezolva problema,formatarea nefiind stergerea hard-ului de fapt asa cum cred unii gresit.In alte cazuri pc-ul se putea folosii perfect cu exceptia accesarii pozelor ,care nu se putea face si aparea un mesaj de plata catre un anumit cont cu un timp descrescator pana la pierderea datelor respective,date/poze care earu de fapt iremediabil pierdute in cazurile respective .Deci singurul lucru care iti tine in siguranta pc-ul personal este o protectie cu adevarat puternica,o protectie cu adevarat premium si voi enumera cateva suite care nu m-au dezamagit : Bitdefender,Norton,Panda,Bulguard,Trend Micro,FSecure.Nu recomand nimic Free. La capitolul dezamagiri personale premium sunt Kasperkey si Esset Nod 32. Atentie mare persoanelor care folosesc cele cateva la moda pe la noi prin Romania Avast,Avg,Avira ,Defender windows 10!! Repet din nou ,persoanele cu un nivel mediu sau mic in utilizare pc sunt tinte sigure pentru acest tip de infractori ce lanseaza ransomware pe net.

Edited by PiticVerde, 05 April 2021 - 12:43.


#13
Bylly00

Bylly00

    Senior Member

  • Grup: Senior Members
  • Posts: 3,729
  • Înscris: 27.06.2015

View Postdanvlas, on 05 aprilie 2021 - 12:30, said:

E interesanta observatia ca unii ar plati intre 1000 si 10.000 euro ca sa-si recupereze datele. Ei bine, aceiasi oameni nu sunt dispusi sa investeasca acea suma in securitate si educatie informatica.

Este foarte adevarat. In general vorbim de firme mici (dar iata ca e cazul si firmei din articolul prezentat, care e oricum, numai mica nu), care nu neaparat ca nu au un buget pentru asa ceva, dar neavand un departament specializat sau nici macar un om cu oarecare pregatire in domeniu; nu pot realiza cat ar putea sa coste un astfel de eveniment neplacut si atunci treburile merge "si asa" pana dau cu capul de tavan.

#14
_bcristian_

_bcristian_

    Senior Member

  • Grup: Senior Members
  • Posts: 3,551
  • Înscris: 31.12.2006
Partea esentiala la protectia impotriva ransomware este ca locul in care tii backup-ul sa nu poata fi scris in mod normal, pentru ca altfel ai sanse mari ca virusul sa-ti cripteze si backup-ul..
De exemplu: server linux, faci 2 useri samba si 2 share-uri, fiecare user poate accesa doar directorul respectiv. Faci backup (cu robocopy de ex) azi pe share1, maine pe share2. Nu tii share-urile conectate permanent, ci doar cand faci backup il conectezi pe cel necesar. In cel mai rau caz posibil, in care te loveste fix in timp ce faci backup, ai datele de ieri, la care nu are acces sa le corupa.
Dupa ce faci backup-ul opresti serverul de backup.
Conexiunile la share-uri si comanda de oprire le poate da un script. Si daca pui parolele in clar in script sau scrise pe perete nu conteaza, ca virusul nu stie sa sa uite nici acolo nici dincolo.

Pentru backup incremental pe conexiune lenta e mai complicat putin. Ideea de baza e ca iti trebuie o metoda de a genera diferentele local, fara sa acceseze versiunea stocata. Apoi incarci doar diferentele.
Varianta optima ar fi daca programul care scrie respectivele date ar putea face asta (sau sa le extragi din baza de date).
Daca nu, poti folosi xdelta, sau altceva similar. Faci un script care face asa:
xdelta intre date_azi si date_ieri
pune pe fpt sau ce metoda folosesti fisierul cu diferentele si cel cu checksum-ul
copiaza date_azi peste date_ieri

#15
sags

sags

    Senior Member

  • Grup: Senior Members
  • Posts: 9,848
  • Înscris: 24.04.2013
Eu nu am folosit rsyc dar stiu de el, deci prea concret nu te pot ajuta. Acum repede am gasit urmatoarele:
HDD-ul acela care se muta de la un PC la altul nu e cea mai buna idee. Cat timp e conectat (ca sa faci backup-ul) poate fi criptat si el…



@_bcristian_: xdelta e bazat pe algoritmii din rsync.

rsync functioneaza insa si client-server. Pe partea de server are nevoie de acces la o versiune mai veche, pe care o imparte in blocuri si calculeaza checksum-uri pe care le trimite clientului. Clientul face la fel cu versiunea noua pe care o are la dispozitie si compara checksum-urile. Astfel afla care blocuri s-au modificat si le trimite doar pe acelea, din care serverul folosind si versiunea veche locala reconstituie versiunea noua. Intre client si server se transfera doar checksum-urile si blocurile modificate.

xdelta nu stiu daca functioneaza client-server cu minimizarea traficului intre cei doi. Pe acesta l-am folosit, dar numai pentru a crea un fisier comprimat cu diferente intre alte doua, care imi permite sa reconstitui ambele versiuni pastrand doar o singura copie intreaga si diferentele. Dar acest lucru l-am facut numai intre fisiere locale. Ar merge si prin retea, dar daca asta inseamna transferul in intregime al unei copii atunci nu am facut nimic.

Edited by sags, 05 April 2021 - 13:05.


#16
_bcristian_

_bcristian_

    Senior Member

  • Grup: Senior Members
  • Posts: 3,551
  • Înscris: 31.12.2006
Poate face backup pe o masina linux, si folosi rsync din ea. Preferabil un calc fizic separat, ca daca folosesti WSL sau o masina virtuala, tot exista riscul ca virusul sa cripteze/distruga discul virtual cu totul, chiar daca nu paote accesa continutul.

#17
_bcristian_

_bcristian_

    Senior Member

  • Grup: Senior Members
  • Posts: 3,551
  • Înscris: 31.12.2006
@sags: vezi ca am descris si pasii de la folosit xdelta. Il folosesti doar local. Practic faci de mana (intr-un script, evident) o versiune simplificata a ce face rsync.
rsync e mai simplu si mai sigur (pentru ca nu risti sa ramai fara date daca ratezi un transfer, am uitat sa spun si cum se face verificarea/remedierea la asta).
Doar ca vorbeste ceva mai mult pe retea (partea in care identifica fiecare parte ce date are, pe care o poti elimina daca stii dinainte de la ce se porneste).

Dar prima data as investiga daca nu se poate rezolva direct de la sursa (program sau baza de date) sa scoata diferentele, asta ar fi de departe cea mai eficienta solutie.
Sau de exemplu daca programul doar adauga la sfarsitul fisierului, sau sfarsitul si un index, etc.

In fisiere de cativa GB, asta poate face diferenta intre "se face backup in timp ce-mi iau haina" si "iar am de stat un sfert de ora dupa asta, azi ma grabesc si nu mai fac".

Edited by _bcristian_, 05 April 2021 - 14:07.


#18
EmeraldCountryHouse

EmeraldCountryHouse

    Member

  • Grup: Members
  • Posts: 999
  • Înscris: 31.03.2018
In primul rand,tu vorbesti de faptul ca ai  / operezi un business cu trei puncte de lucru si cauti solutii de backup,in cazul in care esti afectat si poti sa fii compromis total.
Adica,sa pui lacatul pe usa.

Pot spune ca sunt un pic surprins de atitudinea unui posesor de business cautand solutii free si altele care nu sunt profesionale si/sau testate,fiind recomndate de unii useri spudnand ca nu le-a folosit dar sunt bune.
Nu numai ca solutiile de mai sus  sunt la nivel de amator / home user dar nu stii daca vor functiona,daca iti vor face acel backup job zilnic,nu iti vor da un raport / un log si cel mai important...cum faci un restore daca vei avea nevoie de informatie in cateva zile sau saptamani daca tu "overwrite" datele de azi peste datele de ieri !?

Pana ce ajungi la backup si restore ,iti va trebui un "multi layer" protection la tot ce inseamna data/ database si folosirea sistemelor IT de personalul angajat,caci de multe ori,problema este in fata keyboard-ului.

As incepe cu training-ul celor ce lucra pentru tine,pentru cum se foloseste un email,care este diferenta intre unul bun si unul malicios.
Apoi,activitatea pe internet treba regulata si posibil monitorizata cu login,password si user accountability.
Am citi ca staff-ul face login c anormal user si numai tu esti "local administrator",dar asta poate avea dezavanatjul ca Windows Update nu pot fi instalate.

Ia un servicu "third party" de email care este secure,are antispam SI antivirus, cu mai multe filtre de scan si de analiza.

Apoi,instaleaza un antivirus / internet security pe fiecare computator si care iti da rapoarte pe emailul tau zilnice la activitate,status,updates si/sau alte parametri importanti de functionare.

Cumpara un router care poate face IDS/IPS/antimalware/antispyware pe nivel de WAN,in asa fel incat sa capteze orice problema de la usa,sa nu lase inside al tau LAN.

Apoi,backup... care iti este bugetul lunar pentru un backup ce poate face BCP/DR in parametri ceruti de industrie !?
BCP=Business Continuity Plan
DR=Disaster Recovery

Bafta

Edited by EmeraldCountryHouse, 05 April 2021 - 14:21.


Anunturi

Chirurgia cranio-cerebrală minim invazivă Chirurgia cranio-cerebrală minim invazivă

Tehnicile minim invazive impun utilizarea unei tehnologii ultramoderne.

Endoscoapele operatorii de diverse tipuri, microscopul operator dedicat, neuronavigația, neuroelectrofiziologia, tehnicile avansate de anestezie, chirurgia cu pacientul treaz reprezintă armamentarium fără de care neurochirurgia prin "gaura cheii" nu ar fi posibilă. Folosind tehnicile de mai sus, tratăm un spectru larg de patologii cranio-cerebrale.

www.neurohope.ro

0 user(s) are reading this topic

0 members, 0 guests, 0 anonymous users

Forumul Softpedia foloseste "cookies" pentru a imbunatati experienta utilizatorilor Accept
Pentru detalii si optiuni legate de cookies si datele personale, consultati Politica de utilizare cookies si Politica de confidentialitate