Přidat otázku mezi oblíbenéZasílat nové odpovědi e-mailem Maximální ochrana proti ransomware při zálohování na ext. disk

Plán IMHO celkem dobrý, ale šel by ještě vylepšit.
Problémy:
1 - podle popisu asi jedna metodická chyba - pokud ti ransomware ve Windows zakóduje/zmrší soubory, ale názvy jim ponechá, tak si při záloze přepíšeš dobré špatnýma sám
2 - ransomware, který se ti zavede ještě před výběrem a spuštěním OS (už jsem slyšel, že se nějaké takové vyskytují, ale běžné nejsou)
3 - chyba obsluhy ("jen si rychle ze záloh vytáhnu ...") a okolních uživatelů ("Hele, disk, co na něm asi je?")
---
Já bych na to šel spíš takhle:
- udělal záložní počítač (v principu klidně příšernou plečku) kde by byly ty disky se zálohama (a nahodil tam softwarový raid5 (nebo lepší))
- - ten záložní počítač ti umožní mít těch disků víc a zároveň umožní ho držet dost silně izolovaný proti útokům
- - diskové pole = snadno dostaneš dost velkou kapacitu, pokud je to
- - raid5 přežije i fyzickou havárii jednoho libovolného disku (raid6 přežije i dva disky) - vyndáš vadný, přidáš prázdný a necháš to ať se to samo opraví a dopočítá
- - softwarové pole ti zajistí, že to sestavíš na libovolném HW, co bude mít dost portů pro disky, čili pokud odejde základovka, není problém to oživit s libovolnou jinou plečkou. Navíc si to můžeš třeba i zaširovat dle libosti, pokud si chceš zajistit soukromí. (A nasekat tam libovolný počet hidden volumes, pokud chceš.)
- ten záložní počítač samozřejmě nebudeš používat k práci/zábavě, takže jeho HW je celkem nepodstatný a nic tam instalovat nebudeš (po prvotním nastavení). A používal bych ho normálně z příkazového řádku a bez nějakých "samose" automatizmů (tedy disk se připojí příkazem mount, nikoli zapojením, žadné blbosti jako hledání programů pro automatické spuštění po připojení, natož jejich spouštění a tak dál a tak dál).
- bootovat ho budeš z toho USB (nebo ještě líp z uzavřeného CD/DVD, na které ti už nikdo nic nenahraje a které si můžeš kdykoli zkontrolovat kdekoli, nebo vyrobit znova ) a klidně můžeš připojit ty datové disky v režimu, kdy na ně půjde psát (při zálohování), a nebo nepůjde psát (při obnově dat), pujdou číst, ale nepůjde z nich nic spustit.

Při zálohování bych:
- spočítal kontrolní součty všeho, co chci zálohovat (a klidně i pár věcí okolo) ještě v tom potenciálně napadeném prostředí hlavního počítaře a uložil je do souboru (někdy ransomware může nějakou dobu podstrkávat uživateli dešifrované soubory, než dokončí své pletichy)
- vypnul hlavní počítač
- odpojil ho od ethernetu (vytažením drátu)
- nabootoval ho z CD/DVD/USB s linuxem, spustil sshd (server)

- nabootoval záložní počítač, sestavil na něm ten raid, propojil ho drátem (ethernet, RJ45) s hlavním počítačem napřímo. Pak oběma nastavil adresy. (čili mám síť jen mezi těmito počítači, bez prostředníka, který by to mohl zdržovat, nebo zkoušet napadnout)
- připojil se přez SSH (klient) k tomu hlavnímu počítači, soubory tahal pomocí SCP (klient) spuštěného na záložním počítači a to do zvláštního adresáře
- - pak v tom adresáři (na záložním počítači) spočítal kontrolní součty všech souborů a porovnal je s těma spočítanýma z "nakaženého" systému - pokud sedí, tak máš stejné soubory, pokud nesedí, tak ti s nima něco šíbovalo pod rukama (a v tu chvíli se zastavit a začít řešit, co dál, co je a co není v pořádku a tak - nepokračovat bezmyšlenkovitě v zálohování)
- - ty součty z adresáře porovnat se součty minulé verze zálohy a tam by měly být stejné u souborů, které se neměnily - pokud nejsou, tak se ten soubor očividně změnil a je potřeba dořešit, zda byl změněn schválně, nebo podvratně. (proto se do toho adresáře kopírovalo těch věcí víc, než jen ty změněné) Pokud součty sedí, tak se ty soubory nezměnily (a dá se to využít pro minimalizaci místa)
- - - stejně bych na tom zálohovacím měl nějaký verzovací systém (git) pro každý projekt, nebo jinou malou jednotku, a používal ho - výhoda je, že se pak dá obnovit systém k nějakému dřívějšímu datu (a přitom soubory, které se mezi verzema nezměnily tak nezabírají místo navíc v kařdé verzi)
- - pokud vše sedí, tak zařadit ty soubory z adresáře jako novou verzi zálohy (včetně jejich součtů)
- - - ty součty občas překontrolovat, kdyby třeba začínal hnít disk, tak se to dozvíš včas
- - ideálně zálohovat zdrojáky, (nebo zdrojáky a z nich sestavené věci) - protože ze zdrojáků to sestavíš i na nové verzi systému, a pokud ne, tak je můžeš na tu verzi následně upravit. Sestavené věci jsou pohodlnější pro přetažení/instalaci, ale pokud se systém změní, tak můžou prostě přestat fungovat.
- - - u textových zdrojáků se navíc dá celkem snadno zkontrolovat, zda jsou pořád ještě příčetné, nebo je to změť divných znaků, případně si nechat vyjet změny a odhadem zjistit, zda jsi je opravdu dělal ty a zda dávají smysl

----

Výhoda je, že zálohovací počítač je furt v té samé verzi, spouští se na něm jen ty programy z CD/DVD a protože si natahá ty soubory jako DATA k sobě, tak se nikde nespouští a nemají šanci něco nějak nakazit (maximálně budeš mít v záloze zavirovaný soubor, ale ten virus se tu z něj nespustí)
Taky se to z něj dá obnovit na libovolný jiný počítač, pokud původní hlavní odejde, nebo ho vyměníš za lepší
Tím, že záložní počítač provádí výpočty a řídí přenosy se mu dá věřit, že to dělá správně, protože se na něj virus neměl jak dostat (aktivně, tedy tak, aby se spustil) - DATA zásadně nespouštíš, jen programy z CD/DVD, které ale ta DATA taky nespouští
Tím, že to v každém kroku testuješ, zabráníš nechtěným změnám (pokud "nakařený" počítač spočte kontrolní součty jinak, než čistý, tak je něco hodně špatně a ten počitač asi je nakažený opravdu, nejen v uvozovkách)

----
Já bych to jel normálně v holém "serverovém" systému, nikoli v grafických nadstavbách a desktopových prostředích, právě abych se vyhnul tomu, že by to něco iniciativně "ono samo" spouštělo (jako ty automounty (nebo jak to mají Win při vložení média, aby to spustilo všechny nalezené viry)). Takže i kdyby ta data obsahovala nějaký škodlivý kód pro Linux, tak ho nic nespustí a nebude mít šanci škodit.

Jinak pro ten záložní/zálohovací počítač ti stačí prakticky cokoli. Klidně Atom. Jediné co chceš je textová obrazovka, klávesnice, ethernet a sata kabely. Čili deska klidně z repasu z roku raz dva (no, mělo by to být vyšší verze než 486), RAM 1GB, zdroj ano, GPU ideálně integrované ... bez disků ten nejlacinější základ a holobyt stačí bohatě. 1.500 Kč i krabicí mi hodil google na první pokus a asi to jde i levněji, a ani ta krabice není nezbytná.

Reakce na odpověď

1 Zadajte svou přezdívku:
2 Napište svou odpověď:
3 Pokud chcete dostat ban, zadejte libovolný text:

Zpět do poradny