Strategia di Backup

[Garrone_71]

Ultimamente mi rendo conto che possibili attacchi dall'esterno sono sempre piu' frequenti e che anche le strategie di backup fin ora da me conosciute risultano non prive di falle di sicurezza.

Normalmente ci si affida a un software automatizzato che effettui copie dal proprio pc verso unità esterne, tuttavia queste cosi' facendo non sono esenti da rischi, in quanto se un ramsoware distrugge il pc, molto probabilmente distruggerà anche le copie che risiedono su un disco esterno usb o nella migliore delle ipotesi su un server NAS, a tale scopo dedicato, in quanto per fare le copie necessitano dei permessi di lettura/scrittura su tale dispositivo.

Qualcuno di Voi e' al corrente di dispositivi, che possano essere collegati alla rete e che integrino un software di backup, leggendo dal pc e scrivendo su di esso.

In questo modo il pc infetto NON avrebbe accesso al dispositivo di copie se non tramite un browser per la configurazione.

Per intenderci, niente SMB, ma al limite qualcosa che assomigli a un FTP, in modo da poter visionare il contenuto delle copie da pc, ma senza poter scrivere/modificare/cancellare il contenuto di esse.

Fino a quando son i pc che leggono/scrivono sui dispositivi e pertanto vanno create condivisioni visibili, la sicurezza delle copie e' pari a nulla davanti a un ramsoware.

Deve essere a mio avviso, il dispositivo a leggere dai pc e a scrivere su di esso e non viceversa.


Opinioni e consigli ?

 

[enricoMB]

Sul NAS si crea un utente specifico diverso dagli altri. Poi si crea una cartella condivisa e si levano i permessi di scrittura da TUTTI gli utenti compresi gli amministratori, si da il permesso di lettura e scrittura solo a questo nuovo utente.
Dai pc client non si entra MAI in questa cartella usando le credenziali dell'utente ma si impostano nel software di backup che "punterà" a questa cartella e avrà solo lui memorizzate le suddette credenziali.
Così facendo i ransomware sono impotenti.

 

[Garrone_71]

Sul NAS si crea un utente specifico diverso dagli altri. Poi si crea una cartella condivisa e si levano i permessi di scrittura da TUTTI gli utenti compresi gli amministratori, si da il permesso di lettura e scrittura solo a questo nuovo utente.
Dai pc client non si entra MAI in questa cartella usando le credenziali dell'utente ma si impostano nel software di backup che "punterà" a questa cartella e avrà solo lui memorizzate le suddette credenziali.
Così facendo i ransomware sono impotenti.

Il problema e' che mi e' capitato da un cliente un vero attacco Hacker che si e' collegato su un sistema server windows 2003 (lo so obsoleto...) tramite porta 3389 (RDP).

L'hacker era collegato e aveva accesso a tutti gli account, si e' creato una nuova credenziale, ha cambiato permessi di accesso alle cartelle ecc...

Alla fine ha lanciato il ramsoware per crittografare ogni cosa di quel server.

Il resto della rete per fortuna e' intatto, compresi i server nas di backup che pero' non avevano accesso da quel pc.

Ogni cosa con credenziali memorizzata da quel pc e' andata distrutta.



Mi serve qualcosa di diverso e accessibile solo tramite web browser

 

[enricoMB]

Ok ma un attacco hacker è un bel po' diverso da un crypto.
Puoi difenderti anche da quello cmq se non memorizzi le password degli amministratori del NAS.
Detto ciò un ulteriore backup offline è d'uopo.

 

[Garrone_71]

Eh ma qualsiasi software di backup necessita di username-password memorizzate nel pc o non ha accesso :/

A me serve qualcosa che legga dal pc (e poco importa con quale utente) e scriva sul server nas che non abbia alcun accesso dal pc se non tramite web browser per verificare che le copie siano funzionali.

 

[enricoMB]

Eh ma qualsiasi software di backup necessita di username-password memorizzate nel pc o non ha accesso :/

No, non mi sono spiegato. Le credenziali di accesso alla cartella del backup le memorizzi sì sul pc ma non in windows, le memorizzi SOLO dentro il software di backup. Qualunque virus tu possa prendere "attacca" il sistema operativo e quindi tutte le cartelle, anche remote, a cui esso ha accesso. Non esiste un virus capace di hackerare il software di backup e recuperare le credenziali che ha memorizzate internamente.

A me serve qualcosa che legga dal pc (e poco importa con quale utente) e scriva sul server nas che non abbia alcun accesso dal pc se non tramite web browser per verificare che le copie siano funzionali.

Non credo esista una cosa del genere, sarebbe un buco ENORME alla sicurezza.

 

[Garrone_71]

No Enrico, la falla sta proprio come sono concepiti adesso.

A me necessita qualcosa che legga dal pc (nel pc andrebbe creato l'account che permetta la lettura da parte del server nas) e al quale il pc non abbia alcun accesso se non in lettura.

A me serve che questo servernas LEGGA dal pc sul quale ho creato la credenziale utente di lettura e scriva su se stesso.


Ad oggi tutti i nas che ho visto, qnap synology, wd fanno solo la cosa inversa e non mi va bene.


Un ramsoware e' progettato per "asfaltare" ogni dato locale e ogni risorsa di cui ha accesso, e' assurdo solo pensare di dare al pc infetto l'autorizzazione a scrivere sul server nas e quindi mettere a repentaglio le copie.


Esiste qualche dispositivo del genere o dovro' usare un pc su distro linux che legga dai pc windows e copi nel suo disco locale ?
Alla fin fine chiedo solo questo...

 

[marcofi]

Un ramsoware e' progettato per "asfaltare" ogni dato locale e ogni risorsa di cui ha accesso

Le tua valutazioni sono interessanti pero' mi chiedo:

- il ransomware ti "asfalta" i dati sul PC
- il tuo sistema "succhia" dal PC i dati asfaltati sull'unita' di backup (sovrascrive i "vecchi" dati "buoni")

Domanda: dove e' il vantaggio del tuo sistema?

Esiste qualche dispositivo del genere o dovro' usare un pc su distro linux che legga dai pc windows e copi nel suo disco locale ?
Alla fin fine chiedo solo questo...

Se hai una unita' di backup *rigorosamente off-line (scollegato)* e:

- subito prima di backuppare i dati ti assicuri che siano "buoni"
- accedi al disco di backup
- copi i dati
- scolleghi il disco di backup
- eventualmente hai due (o piu') dischi di backup (in locazioni diverse: casa - ufficio)

Funziona?

 

[groviglio]

Se hai una unita' di backup *rigorosamente off-line (scollegato)* e:

- subito prima di backuppare i dati ti assicuri che siano "buoni"
- accedi al disco di backup
- copi i dati
- scolleghi il disco di backup
- eventualmente hai due (o piu') dischi di backup (in locazioni diverse: casa - ufficio)

Funziona?

certo che funziona ...e dovrebbe essere così un sistema di backup come dio comanda. deve avere anche una finestra temporale di attività. al di fuori di quella finestra, il sistema di backup deve essere off line...così si riduce enormemente la superficie d'attacco...a seconda delle esigenze.: un normale utente privato può fare il backup una volta volta la mese...un utente professionale , una volta al giorno, ma solo per il tempo strettamente necessario a fare il backup...poi sempre off- line

 

[Saltellone]

Dal punto di vista della sicurezza per me non c'è niente di più sicuro di un backup su HDD esterni. Due backup mensili degli ultimi due mesi su due hard disk esterni diversi, per proteggersi da attacchi e un backup giornaliero differenziale su HDD anche interno (RAID) per non perdere i dati.
Dovrebbe essere un tempo ragionevole ad accorgersi di eventuali infezioni.
I dischi sono sistemi che possono essere infetti loro stessi, se anche leggono e basta dal PC, questo non dà alcuna garanzia di protezione.

 

[skymap]

E' indubbio che il backup più sicuro è offline in doppia copia, da lanciare periodicamente a scadenze prefissate che devono tanto più ravvicinate quanto più spesso si aggiornano o creano nuovi documenti.

Però... credo di aver capito il problema di garrone

mi e' capitato da un cliente un vero attacco Hacker

il cliente tipo i backup non li fa perchè si dimentica, perchè sta facendo altro, perchè sta litigando con una controparte, ecc. ecc. e perchè conosce poco l'informatica e tutte le rogne che comporta, per lui il pc è solo un mezzo per lavorare, una macchina da ufficio. Quindi l'unica soluzione che gli salva i dati senza che ci debba pensare sono i backup automatizzati, che però espongono il fianco ai rischi che sappiamo perchè sono su nas o dischi collegati al pc e sempre accessibili.
Se entra il ransom va tutto a p...ne.

Io non conosco una soluzione per queste tipologie di rischi, i miei backup sono online per comodità ma ne ho uno offline periodico che un memo a scadenza prefissata mi avvisa che devo fare. Altrimenti mi dimenticherei alcune volte, ho anche una vita...

 

[Vincent Vеga]

Se hai una unita' di backup *rigorosamente off-line (scollegato)* e:

- subito prima di backuppare i dati ti assicuri che siano "buoni"
- accedi al disco di backup
- copi i dati
- scolleghi il disco di backup
- eventualmente hai due (o piu') dischi di backup (in locazioni diverse: casa - ufficio)

Funziona?

ho sempre fatto così ma c'è il problema di collegare e scollegare fisicamente l'HDD per cui non per tutti può essere una soluzione accettabile come già fatto notare.
penso che il miglior sistema per rendere tutto automatico sia il cloud e dopo lì i problemi sono altri (troppi dati da uppare rispetto la connessione disponibile e affidabilità del servizio)

 

[groviglio]

ho sempre fatto così ma c'è il problema di collegare e scollegare fisicamente l'HDD per cui non per tutti può essere una soluzione accettabile come già fatto notare.

il nostro amico si può prendere uno switch "managed" e può fare tutto quello che vuole: aggregazioni, QOS , limitazioni, redirezioni, finestre temporali, blocchi dei flussi di dati (senza dover scollegare fisicamente i cavi(ma , di fatto, non facendo passare pacchetti)...fermo restando che in maniera casereccia, anche con uno switch unmanaged, le finestre temporali si possono ottenere alimentando lo swirth /anche da 4 soldi) con un alimentatore che prende corrente da un timer....nessuno stacco cavi, risultato identico, massima sicurezza off-line

 

[enricoMB]

No Enrico, la falla sta proprio come sono concepiti adesso.

A me necessita qualcosa che legga dal pc (nel pc andrebbe creato l'account che permetta la lettura da parte del server nas) e al quale il pc non abbia alcun accesso se non in lettura.

A me serve che questo servernas LEGGA dal pc sul quale ho creato la credenziale utente di lettura e scriva su se stesso.

Ma è una cosa senza senso IMHO.
Secondo te, chi è che determina i permessi di lettura scrittura e modifica delle varie cartelle e/o partizioni sui dischi dentro un pc windows?

Beh... WINDOWS!
Quindi a parte il rischio evidente di esporre nella lan una o più cartelle interne del pc per farle gestire dal NAS a cui forse si potrebbe trovare anche una soluzione (forse creando un target iSCSI se possibile), se ti infettano windows il fatto che quella eventuale cartella sia teoricamente in sola lettura va a farsi friggere, il virus ti modifica i permessi e sei fregato.

Se invece è su NAS i permessi di lettura e scrittura il virus dovrebbe hackerare il SO del NAS, e la cosa è abbastanza utopica, non ho conoscenza di virus progettati per attaccare un mercato così marginale.

Altra cosa, se la cartella per il PC è di sola lettura, come ce li metti i dati?

Ad oggi tutti i nas che ho visto, qnap synology, wd fanno solo la cosa inversa e non mi va bene.

Guarda, forse sono io che capisco male cosa hai in mente, cmq più che focalizzarsi sul problema è meglio cercare di trovare la soluzione. Se la soluzione che avevi ideato ora non è praticabile è bene trovarne un altra no?

Un ramsoware e' progettato per "asfaltare" ogni dato locale e ogni risorsa di cui ha accesso, e' assurdo solo pensare di dare al pc infetto l'autorizzazione a scrivere sul server nas e quindi mettere a repentaglio le copie.

Appunto! Ma hai letto quello che ti ho scritto sopra? Il sistema operativo del pc non dovrà MAI avere accesso alle cartelle dei backup! Il NAS ha un sistema di gestione dei permessi delle cartelle che ti consente di creare tutti gli utenti di cui hai bisogno e di dare i permessi di lettura, scrittura e modifica ad hoc.
Se tu crei un utente "speciale" ad esempio lo chiami "UTENTEbackup" e come password ne imposti una abbastanza robusta, ipotizziamo "cIppalipp@ILmioBackUp2018!", poi, sempre dal NAS crei una cartella condivisa, ad esempio "backupPCfisso", TOGLI tutti i diritti di lettura, scrittura e modifica a TUTTI gli utenti (admin compreso) e metti lettura e scrittura SOLO per "UTENTEbackup". Fatto ciò tu non accederai MAI da windows a questa cartella (e anche un eventuale virus quindi non potrà accedervi) ma imposterai username e password di questa cartella SOLO nel software di backup che usi (non so quale sia ma vanno bene praticamente tutti, diciamo che hai scelto Veeam per esempio).
Quindi in questo modo i tuoi dati saranno sul pc client, avrai il tuo sw di backup che in automatico farà i suoi snapshot (a cadenza a tua discrezione) sul NAS in uno spazio completamente inaccessibile a un eventuale crypto. Ovviamente un vero DRP non può fermarsi qua, dovrai periodicamente predisporre dei test di rebuild dei dati backuppati per verificare che gli archivi siano ok ed è fortemente consigliabile avere un ulteriore destinazione del backp offline o in una rete diversa e isolata (se il NAS ha almeno due porte LAN è possibilissimo farlo) oltre ai normali controlli antivirus e antimalware.

Esiste qualche dispositivo del genere o dovro' usare un pc su distro linux che legga dai pc windows e copi nel suo disco locale ?
Alla fin fine chiedo solo questo...

Ho capito, puoi ovviamente condividere delle cartelle nella LAN, ma è una cosa senza senso e sopratutto molto rischiosa e che non so come pensi ti possa proteggere da alcunché.

 

[groviglio]

Se invece è su NAS i permessi di lettura e scrittura il virus dovrebbe hackerare il SO del NAS, e la cosa è abbastanza utopica, non ho conoscenza di virus progettati per attaccare un mercato così marginale.

sono in sintonia con te in generale su tutto quello che hai scritto, tranne questo, dato che i NAS

1) non sono un mercato marginale (sopratutto in ambito aziendale-professionale
2) sono target di hacking
3) spessissimo hanno vulnerabilità scoperte e non scoperte spaventose rispetto agli OS montati su PC (che almeno sono super supportati e aggiornati con cadenza maniacale(programmata e imprevista) da windows e linux

 

[enricoMB]

sono in sintonia con te in generale su tutto quello che hai scritto, tranne questo, dato che i NAS

1) non sono un mercato marginale (sopratutto in ambito aziendale-professionale

Concordo, ma restano un campo poco appetibile per i programmatori di virus. Anche perché ogni produttore di NAS ha il suo SO, ergo un virus lo puoi progettare sì per synology (tanto per fare un esempio) ma non attaccherà Qnap, bull, HP, WD eccetera eccetera.

2) sono target di hacking

Ok, ma ho già specificato che l'hakeraggio è tutt'altra cosa rispetto al crypto/ransomware.

3) spessissimo hanno vulnerabilità scoperte e non scoperte spaventose rispetto agli OS montati su PC (che almeno sono super supportati e aggiornati con cadenza maniacale(programmata e imprevista) da windows e linux

Non mi risulta che sia così "spessissimo", possono sicuramente averle delle falle ma hanno anche ben poco appeal proprio per i motivi del punto 1. Non so se hai dei dati diversi, non c'è nulla di impossibile ovviamente ma per attaccare un NAS occorre prima passare i vari firewalls, poi studiarsi a mendadito il sistema operativo del suddetto e trovare le vulnerabilità (e devi sapere per certo che il tuo obiettivo monti proprio quella determinata marca di NAS), indi passare all'attacco. Quanti team hackers pensi che abbiano il tempo da dedicare a questo tipo di attività quando sanno per certo che un pc windows collegato alla rete su cui risiede il NAS lo trovano di certo e che tutto il know how che otterranno da questo tipo di "studio" lo potranno riciclare in millemila altre situazioni?
Se però tu sei a conoscenza di situazioni particolarmente importanti condividimele pure che sono interessato.

Detto questo la copia offline la consiglio sempre anch'io, sia chiaro.

 

[groviglio]

ok


sulle vulnerabilità dei NAS, ne leggo sui vari bollettini rilasciati dalle "authority" (chiamiamole così) e dai media specializzati...ma effettivamente sulla questione hacking avevi già precisato...ho allargato troppo l'ambito, dato che qui si parlava sopratutto di ransomware

 

[enricoMB]

E' ovviamente un tema importantissimo l'hakeraggio e il come ci si difende, è che sul tema backup c'entra meno rispetto ai virus (ransomware e non) perché di norma l'hacker entra per trafugarli i dati, non per distruggerli.

 

[ScubaFan]

Ma fare le cose come si deve? Sui client gira il clent di backup che quando serve comunica col suo protocollo verso il server di backup. No smb. Es Veeam, Bacula, ecc.

 

[Garrone_71]

Ma fare le cose come si deve? Sui client gira il clent di backup che quando serve comunica col suo protocollo verso il server di backup. No smb. Es Veeam, Bacula, ecc.

Mi spieghi meglio ?

La cosa sia avvicina a quello che mi serve.


Il mio limite di sicurezza e' proprio l'smb e non lo voglio attivo tra i piedi (al massimo attivo in sola lettura per vedere che i backup sono corretti)