Trojanersichere Einstellungen - Spagat zwischen Komfort und Sicherheit?

  • Hallo, seit gut 8 Monaten habe ich jetzt meine HS 251+ - langsam lernt man dazu.


    Ich habe mir jetzt mit Qsync, Netzlaufwerken für mehrere Nutzer, Twonky, myqnapcloudzugriff usw. recht bequem eingerichtet, mache mir aber zunehmend Sorgen, dass irgendwann einmal ein Trojaner alles verschlüsseln könnte...


    Daher meine Frage/n: Wie nutze ich die NAS als Sicherungsmedium so, dass die Gefahr einer Verschlüsselung möglichst NULL ist, gleichzeitig aber Rest an Bedienspaß bleibt.


    Vielleicht mag der eine oder andere ja sein Rezept posten.

  • Unwiederbringliche/ Wichtige Daten immer Off-Side Backupen -Externe HDD oder Cloud (obwohl ich kein Fan von Cloud bin). Keine Pakete installieren deren Quelle du nicht kennst. Virenscanner up-to date halten. Starkes Passwort benutzen.
    Das würde mir jetzt so einfallen. Ist eigentlich so der Standard bei allen Datenspeichern.

  • die NAS ist nicht dein Sicherungsmedium ;).


    um möglichst sicher zu gehen, solltest du ein Backup der Daten auf ein externes Gerät, beispielsweise externe HDD machen. danach aber die externe HDD auswerfen (ggf. automatisch), sodass der Trojaner sich nicht darauf ausbreitet.


    eine andere möglichkeit ist eine zweite NAS, jedoch muss auf jeden fall die verbindung nach einem erfolgreichen Backup gekappt werden, sonst breitet sich die ransomware über alles aus.

  • Das mache ich auch so. Meine Sicherung sieht so aus: PC->NAS->WD-Festplatte (Sicherung, die ich von Zeit zu Zeit mache und die Platte dann abstöpsle).


    Mir geht es hauptsächlich darum, eine Verbindung zwischen PC(s) und NAS herzustellen, die mir einen bequemen Zugriff erlaubt, aber für Trojaner nicht erreichbar ist.


    Gibt's sowas?

  • Nicht das ich wüsste.... alles was du erreichst, erreicht der Trojaner auch ;), teilweise sogar noch mehr :D

  • In der neuesten Ausgabe von c't steht was von Verbindung mit FTP.

  • Zitat von VaexX

    Nicht das ich wüsste.... alles was du erreichst, erreicht der Trojaner auch ;), teilweise sogar noch mehr

    This, gerade Locky und so haben die blöde angewohnheit sich schön übers Netzwerk auszubreiten.
    Off.Side Backup ist da wirklich die Lösung der Wahl.

  • In der neuesten Ausgabe von c't steht was von Verbindung mit FTP.

    na warum fragst du dann hier wenn da schon was steht :O


    ich weiß nicht was da steht :D aber ich bin mir recht sicher das die ransamsoftware auch ftp knackt ;)

  • "die Zugangsdaten zu dem auf dem NAS angelegten Verzeichnis erhält nur die Backupsoftware" - "der Nutzer selber hat auf diesen Ordner keinen direkten Zugang"


    Das wäre per se mit Qsync möglich. Die Ordner, die Qsync auf mein NAS synchronisiert, sind von Bitdefender-Ransomware-Schutz überwacht.

  • Daher meine Frage/n: Wie nutze ich die NAS als Sicherungsmedium so, dass die Gefahr einer Verschlüsselung möglichst NULL ist, gleichzeitig aber Rest an Bedienspaß bleibt.

    Hallo Markus,


    in deiner Formulierung steckt in sich schon der Widerspruch. Übertragen wir das mal auf ein anderes Beispiel: ich möchte viel Spaß beim Skifahren haben bei möglichst NULL Risiko für einen Arm- oder Beinbruch. :D


    Spaß beiseite. Ich würde wichtige Daten auch auf jeden Fall auf einer externen FP sichern und die Platte beiseite legen.
    Solange die Trojaner keine Linuxsysteme infizieren können, besteht die Ausbreitung auf der Nas nur über Netzfreigaben. D.h. ein infizierter (Windows-)PC verschlüsselt alle Daten, auf die er per Netzfreigabe zugreifen kann. Er kann bisher die Nas nicht infizieren und kommt somit auch nicht an die Freigabeordner ohne Netzfreigabe ran. In Freigabeordner ohne Netzfreigabe sollten Daten also noch sicher sein. Du kannst sie einfach mit einem RTRR oder rsync Sicherungsjob dorthin sichern.


    Gruß Dirk

  • Wobei die Sicherung auf ein externes Device, zumindest mir, besser gefällt.


    angenommen du hast eine NAS, 4BAy, 4x4 TB, RAID5 also sprich 12TB Datenspeicher... dann hast du immer die doppelten daten, also mit deinem Szenario quasi nur noch 6TB, da alles doppelt vorhanden ist

  • Wie an meinem Status zu sehen, bin ich ja NAS-Schüler. Was ist ein Freigabeordner ohne Netzfreigabe?


    Ich gehe davon aus, dass ein gemappter Freigabeordner wie "Multimedia" zugänglich ist. Ein Ordner, der nicht gemappt ist, ist dann bei einer deaktivierter Netzwerkerkennung und Dateifreigabe nicht zugänglich?

  • Bei aller Vorsicht und BackUp und PiPaPo. Man packt sich einen Tronjaner ja nicht mit Absicht auf das NAS und wenn man das unbewußt macht, dann ist er ja erstmal da und dann packt das automatische BackUp den doch auch auf die BackUp-Platte. Ok, Vorteil - man hat länger was davon.

  • Wobei die Sicherung auf ein externes Device, zumindest mir, besser gefällt.

    Ich würde sie ja auch immer empfehlen.

    also mit deinem Szenario quasi nur noch 6TB, da alles doppelt vorhanden ist

    Wenn man in Terrabyte Größenordnungen wichtige Daten hätte, dann wäre das so. Datensicherung kann teuer werden. Deshalb teile ich meine Daten in verzichtbare und unverzichtbare Daten auf. Die verzichtbaren sichere ich nicht, dafür lieber die unverzichtbaren mehrfach.

    Ein Ordner, der nicht gemappt ist, ist dann bei einer deaktivierter Netzwerkerkennung und Dateifreigabe nicht zugänglich?


    Freigabeordner erstellst du ja unter Systemsteuerung --> Privilegieneinstellungen --> Freigabeordner


    Ich würde es gerne von dieser Seite aus betrachten. Du erstellst einen Freigabeordner auf dem nur der Benutzer admin Zugriffsrechte hat. Das setzt voraus, dass du auf deinen PCs mit denen du auf das Nas zugreifst , nirgends den Benutzer admin für die Netzfreigaben eingesetzt hast.



    dann packt das automatische BackUp den doch auch auf die BackUp-Platte.


    Das automatische Backup könnte im dümmsten Fall die guten Daten durch die verschlüsselten Daten ersetzen, stimmt. Wenn man allerdings die Option "überschüssige Daten löschen" deaktiviert, würden die verschlüsselten Daten zu den unverschlüsselten Daten "nur" dazugeschrieben. Backups kann man übrigens auch manuell starten. Alternativ bieten sich bessere Strategien an: Man kann mit mehreren automatisierten Sicherungsjobs zyklisch auch in verschiedenen Ordner Sicherungen schreiben. Beispiel: Jeden 1. des Monats in BU1, jeden 10. in BU10 und jeden 20. in BU20. Wer innerhalb eines Monats nicht merkt, dass ein Trojaner seine Daten verschlüsselt hat, dem ist dann auch nicht mehr zu helfen. (Oder man greift auf die USB-FP zurück, die man sich beiseite gelegt hatte.)


    Wie zu Anfang geschrieben: das alles ist nur bedingt sicher, solange die Trojaner nicht die Betriebssysteme der Nas infiziert können. Datensicherung wichtiger Daten auf Medien wie DVDs oder Bluerays darf man deshalb auch nicht außer acht lassen.

  • Sie haben Recht, dass die Lösung suchen, da gibt es schlechte Nachrichten über Ransomware http://linkmailer.de/viren/goldeneye

  • Es gibt nur eine sichere Methode: Keine Internet, keine externen Medien, keine Verbindung nach "Aussen" irgendwelcher Art. Aber wer will das schon.
    No risk, no fun. :)

  • Hallo zusammen für mich ist das hier leider gerade bittere Realität geworden.
    Die Ransomware OSiris hat meinen Windows7 Rechner befallen und dort alle Daten verschlösselt.
    Da die Sicherungsdaten meines QNAP 451 als Netlaufwerkeingebunden waren(Freigabeordner) wurden diese angefangen auch zu verschlüsseln.
    Nun habe ich zum Glück rechtzeitig gemerkt so das der verlust sehr klein ist.


    Nun habe ich wei Fragen:


    1 wie kann ich sichergehen das in dem freigegebenen Ordner keine Ramsomware vorhanden ist und diese sobald ein frisches Windows drauf zu greift wieder aktiv wird?


    2. wie kann ich sowas in Zukunft vermeiden?


    Zum zweiten ja ich habe noch eine externe Festplatte zur Sicherung jedoch ist diese nicht imme Aktuell.


    Meine Idee ist nun folgende :
    Mir ist aufgefallen das Die Ramsomware wie folgt vorgeht sie erstellt eine kopie der Datei verschlüsselt diese und löscht die ursprüngliche Datei mit mehrfachen überschreiben so das sie nicht wiederhergestellt werden kann.


    Qnap hat die funktion das daten die gelöscht wurden zunächst in den Mülleimer geschoben werden von wo sie wieder hergestellt werden können.
    Kann ich einen Freigabe order erstellen und freigebenohne den den Mülleimarmit freizugeben?


    Grund ist ich hatte den ordner und Mülleimar freigegen und die Daten wurden in beiden verschlüsselt,




    Andere Idee den Freigabeordner zwar Schreibrechte zu geben jedoch nicht löschrechte geht das?
    Gruß und Danke

  • Hallo Ricotchet


    Tut mir leid zu hören dass Du Dir einen Krypto-Trojaner eingefangen hast. Malware kann einem den ganzen Spass am Internet verderben.


    1.
    Schwieriges Thema. Zuerst muss ich mal fragen ob es sich um Private- oder Firmendaten handelt?
    Bei Geräten in Firmen gilt, ist oder war eine Schadsoftware auf diesem Gerät ist dieses Gerät kompromittiert. Dieses Gerät und dessen Daten sind nicht mehr zu gebrauchen. Hier gilt es sämtlich Speichermedien zu löschen und das Gerät neu aufzusetzen. Bei einer QNAP würde dies bedeuten auf die Werkseinstellung zurücksetzen und alles Löschen, Festplatten formatieren und am besten noch sicher löschen lassen (Ausbauen und Secure-Erase). Das klingt erst mal brachial, aber leider gibt es keine Garantie, dass sich der Schädling nicht irgendwo im hintersten Ecken noch versteckt hat. Im Firmenumfeld ist das Risiko einfach zu gross.


    Für eine Privatperson gilt erst mal das selbe. Wenn Du die Möglichkeit hast die Daten von einem sauberen Backup wieder herzustellen würde ich wie oben verfahren. Dem scheint aber nicht wirklich zu sein. Jetzt geht es ans Risiko und Kosten abwägen. Eigentlich müsstest Du die QNAP an eine Spezialfirma geben zum Entseuchen. Nur das kostet. Nächst bessere Variante: Selbst entseuchen. Mit einem Spezialsystem (z.B. Desinfec't) oder Linux-System als Live-CD nur die wichtigsten Daten herunterkopieren und prüfen. Auf Virustotal.com können gratis einzelne Dateien mit knapp 70 Virenprogrammen geprüft werden. Wenn die Du wichtigsten Daten gerettet hast QNAP wie oben beschrieben neu aufsetzen und einrichten.


    2.
    Eine gute Frage und ein noch schwierigeres Thema.
    Bei mir in der Firma läuft eine E-Mail durch 9 Malware und Contentfilter und hatte vor kurzem den Fall, dass eine E-Mail mit schädlichem Inhalt erst im letzten Filter aufgehalten wurde. Da kommt nicht zwingend ein Gefühl der Sicherheit auf.
    Als normal Benutzer kann man eigentlich nur eine vernünftige Internet Security Suite installieren (ich rate von den Gratis Programmen eher ab - Tests unter AV-Test) und Vorsicht, Vorsicht, Vorsicht im Internet. Den Grossteil der Sicherheit macht der vernünftige und umsichtige Umgang im Internet und anderen Medien aus. Man muss sich und sein Umfeld für dieses Thema sensibilisieren.
    Zusätzlich gibt es eine Vielzahl von Programmen und Plugins für die Browser, aber so manches stellt sich im Nachhinein selbst als Malware heraus.
    Versierte und interessierte Nutzer können noch viel mit den Einstellungen der Programme und Betriebssystems an Sicherheit herausholen.
    Dass das Betriebssystem und alle Programm auf dem neusten Stand gehalten werden müssen - und dies zeitgerecht - erklärt sich von selbst.
    Des weiteren würde ich für meinen Teil die Programme: Adobe Reader, Adobe Flash Player und Java von meinem Computer verbannen. Diese Programme sind löchriger als Schweizer Käse.
    Wenn Du auf die sicherer Seite willst, dann wechsle mit Deinen PCs auf ein Linux-Betriebssystem. Die sind von Haus aus sicherer. Aber auch hier ist nichts 100%ig.


    Den Mülleimer interessiert die Malware herzlich wenig. Ob Du den Mülleimer - den man so viel mir ist auch deaktivieren kann - deaktivierst oder nicht macht hier keinen Unterschied.


    Andere Idee den Freigabeordner zwar Schreibrechte zu geben jedoch nicht löschrechte geht das?

    Und wie willst Du selbst die Dateien löschen?


    Ich denke die einfachste und beste Lösung wäre ein regelmässiges Backup auf ein externes Medium, welches nach dem Backup auch abgehängt werden muss.

  • Hallo Danke für die Infos es sind privat Daten.


    Wie kann ich desinfect benutzen das qnap damit Booten wie geht das?


    Oder mein pc und dann die Freigaben einbinden ?


    Allgemeine Frage wie wahrscheinlich ist es das das qnap basierend auf Linux sich infiziert hat?
    Es waren ja nur die Freigabe Ordner mit meinem infizierten pc verbunden.


    Hab die qnap App malwere installiert die hat nichts gefunden.
    Ich habe leider kein vollständiges Backup um alles sauber aufzusetzen

  • Ja, die Daten müsstest Du von einem PC, der mit einem dieser Rettungssystem gebootet wurde per Freigabe von der QNAP holen. Du kannst es auch mit einem Windows-PC mit entsprechendem Virenschutz machen, aber hier besteht die Gefahr, dass alles wieder von vorne beginnt und noch schlimmer wird.


    Die QNAP hat sich sehr wahrscheinlich im eigentliche Sinne nicht infiziert, weil die Schadsoftware wahrscheinlich nur auf Windows anspricht und der QNAP nichts anhaben kann. Aber die Schadsoftware wird sehr wohl noch auf der QNAP liegen und sobald Du auf diese Klickst > bamm wieder infiziert, oder zumindest besteht die Chance dazu, wenn der Virenscanner es nicht verhindern kann.
    Welches Betriebssystem und AntiViren-/Security-Programm hast Du im Einsatz?


    Ja der ClamAV. Besser als nichts, aber einen Virenscanner kann man dies eigentlich auch nicht nennen. Hatte eine Version in der Firma als Netzwerkscanner im Einsatz. Als Script-Scanner noch ganz i.o, aber als Dateiscanner hat er mit Vorliebe harmlose Dateien gefiltert und die Viren durchgelassen. ;(


    Ich habe leider kein vollständiges Backup um alles sauber aufzusetzen

    Tja, dann heisst es wohl entseuchen, mit Restrisiko.