Přidat otázku mezi oblíbenéZasílat nové odpovědi e-mailem Maximální ochrana proti ransomware při zálohování na ext. disk

Chtěl bych vás požádat o názor: existuje při níže uvedeném postupu možnost "zavirování" zálohovaných souborů nějakým velmi důmyslným svinstvem (i když by to třeba bylo velmi nepravděpodobné)?

Pracuji na Windows. Na pevném disku A zálohuji. Vypnu, z USB disku nabootoji Linux, připojím ještě pevný disk B , provedu zálohu dokumentů z disku A na disk B, pc vypnu, pevný disk B i bootací USB zase odpojím; následně pracuji na Windows, při příští záloze se vše opakuje. Bootovací USB se použije jen na zálohování a nikdy se po bootování z něj nebude surfovat na webu, aby se eliminovalo riziko stažení nějaké potvory, ani se na něm nebude dělat nic jiného než zálohování; pevný disk B se připojí jen při zálohování.

Jako laikovi se mi tento postup zdá mnohem bezpečnější než obyčejné občasné zálohování připojením zálohovacího disku k pc - klasický windowsácký ransomware (ani ten, který by cíleně šel po pevných discích až v momentu jejich připojení) by (na disku B) neměl mít šanci. Ale co když ke mně ve Windows třeba pronikne svinstvo škodící Linuxu (vím, že jich moc není, ale přesto), obejde "windowsácký" antivirus, ve Windows bude "spát", a začne škodit právě po nabootování Linuxu a připojení pevného disku v Linuxu?

Je to vůbec možné? A pokud ano, má to podobnou pravděpodobnost jako srážka Země s asteroidem v tomto desetiletí, nebo se člověku, který se chce řídit principem maximální opatrnosti, vyplatí pro jistotu postupovat nějak jinak? Jak? Běžné rady typu "mějte aktualizovaný OS, používejte antivirus, nenavštěvujte podezřelé stránky, nerozklikávejte přílohy neznámých původců" znám. Ale pokud už by nějaký ransomware úspěšně překonal ochranu, pak při běžném připojení zálohovacího disku můžu mít stejně po zálohách.

Ano, jsem si skoro jist, že mé úvahy budou znít hodně paranoidně, ale napadá vás něco, co by ochránilo zálohy proti ransomware a podobným typům hrozeb lépe než nastíněný postup (a umožnilo by mi obejít se bez poskytování dat třetím stranám nebo placení předražených služeb třetích stran - chci si vystačit se svépomocí)?

Díky předem.

Jsou zobrazeny jen nové odpovědi. Zobrazit všechny
Předmět Autor Datum
Necetl jsem "Knizni vydani" predchoziho prispevku, ale jak pises dejme tomu kuprikladu pod tim Ubunt…
HPET 04.08.2022 21:29
HPET
Sandbook vypadá zajímavě. Podle toho, co jsem našel, prý teoreticky existuje pořád dost cest, jak by…
jarda89 06.08.2022 10:56
jarda89
zda lze opravdu vyloučit, že se spustí už v nějaké škodlivým kódem modifikované podobě. SandBox je… nový
HPET 06.08.2022 14:09
HPET
Podle toho popisu z linku od HPET je Sandbox určen k tomu, aby se v něm spouštěly podezřelé aplikace… nový
gilhad 06.08.2022 16:45
gilhad
SandBox je izolované prostředí pro spouštění potenciálně škodlivých programů. Není to izolace od pot… nový
dsa 06.08.2022 18:06
dsa
bootování z ssd: dokumenty nemívají bůhvíjakou velikost. takže to chce normální disk - hdd bez smr b…
lední brtník 05.08.2022 14:17
lední brtník
Potřeboval jsem čas na klidné promyšlení rad. Nejde mi o to teď něco kupovat, ale vymyslet systém zá…
jarda89 06.08.2022 10:59
jarda89
tvuj roman se nedal moc cist. nemuzes zalohovat z toho potencialne napadeneho pc pod stejnym uctem,… nový
brum brum 06.08.2022 11:39
brum brum
Pokud bootovací box umožňuje vybrat z více různých .iso, které tam je třeba nejdřív dodat z nějakého… nový
jarda89 06.08.2022 13:59
jarda89
- bych zálohoval vždy ve stejném operačním systému (jiném než v tom, v němž běžně pracuji) ano, je… poslední
lední brtník 08.08.2022 13:56
lední brtník
Bez SMR to asi bude dražší. SMR je "trik" jak na stejnou plochu narvat víc dat, za cenu toho, že se… nový
gilhad 06.08.2022 12:09
gilhad
jezis ja jsem necetl ani tu tvoji reakci, skoncil jsem u prvni vety - a ted vidim, ze je to hromada… nový
brum brum 06.08.2022 12:11
brum brum
Nečetl jsem ta kvana textu, ale dám tip. Chránit data proti přepisu lze pomocí TrueCrypt. Předpoklád… nový
ST 06.08.2022 13:47
ST
Maximalni ochrana? Vcelku jednoducha vec: nekolik kombinovanych offline a online zaloh s kontrolnim… nový
RedMaX 06.08.2022 18:21
RedMaX

Sandbook vypadá zajímavě. Podle toho, co jsem našel, prý teoreticky existuje pořád dost cest, jak by mohl infikovat počítač i poté, co se uzavře, což mi zas tolik nevadí (já bych v něm netestoval podivně vypadající programy, ale zálohoval). Nikde se ale nepíše (nebo jsem to alespoň nenašel) o tom, zda lze opravdu vyloučit, že se spustí už v nějaké škodlivým kódem modifikované podobě. Je možné se na to spolehnout? I když je koncipovaný tak, aby se v něm nespouštěly žádné rozšiřující programy - lze se spolehnout na to, že je do Sandboxu nějaký škodlivý kód nedostane či je tam nějak "nepodvrhne"?

zda lze opravdu vyloučit, že se spustí už v nějaké škodlivým kódem modifikované podobě.

SandBox je SandBox je zcela vylouceno ze je infikovan skodlivym kodem, jde o samotnou podstatu SandBoxu.
Na sifrovani tech zaloh/heslo, na to nepotrebujes kupovat zadne specialni krabicky nebo externi disky, IMHO jsou to zbytecne penize, sifrovat je muzes efektivne zcela zdarma.

Podle toho popisu z linku od HPET je Sandbox určen k tomu, aby se v něm spouštěly podezřelé aplikace a on před jejich důsledky chránil běžící systém. (Což jak známo nedělá úplně dokonale.)
Pokud je ovšem běžící systém napaden, tak mu nic nebrání napadnout i Sandbox, který pak bude při spuštění dělat cokoli mu virus přikáže - Sandbox není ani určen, ani koncipován, na ochranu sanboxovaného systému před hlavním systémem. (Navíc, pokud jde opravdu o "lehky desktop" jak tvrdíten odkaz, tak pro většinu svých potřeb bude používat (možná už dávno infikované) služby hlavního systému. Čili pokud něco v Sandboxu zkusí udělat něco s diskem, tak se použijí služby Sandboxu k vyvolání služeb systému ke způsobení akce. Pokud je cokoli z toho napadeno, je napadena celá akce.)

Jinými slovy - na napadeném systému ti Sandbox už nepomůže (a ani se o to nebude snažit), protože používá právě ten napadený systém.

(No a pak je tu ještě otázka důvěry ve spolehlivou a bezpečnou funkci něčeho, od čeho nemáš zdroják, nesmíš zjišťovat, jak to přesně funguje a tyto věci ví jen nějací lidé od cizí firmy z cizí země, kteří o nich nesmí mluvit a ta firma za případně způsobené škody samozřejmě nezodpovídá ... přičemž víš, že stávající kód má bezpečnostní díry, ale nesmíš je ani ty, ani nikdo jiný zkoumat, natož opravit ...)

bootování z ssd:
dokumenty nemívají bůhvíjakou velikost. takže to chce normální disk - hdd bez smr bývají do 1tb, nebo ssd 250-500gb.
foukneš ho do bootovací krabičky: https://www.odkarla.cz/kryt-pevneho-disku-iodd-2531 (bazar, prý už je s 1tb diskem)
formát disku ntfs, bootovací adresář _ISO - do něj foukneš .iso svých oblíbených distribucí - live tučňák, hirens64, boot iso antiviru a další. čím menší/jednodušší, tím lepší.

https://pc.poradna.net/questions/3099338-externi-box-zalman-zm-ve-uz-se-v-cr-neprodava
formátování pokud je třeba: https://pc.poradna.net/questions/2840576-tip-zalman-ve-500-ve-300-ve-350-no-iso
nemusí být třeba: https://pc.poradna.net/questions/3099338-externi-box-zalman-zm-ve-uz-se-v-cr-neprodava#r3099379

po nabootování si postahuješ cenné dokumenty právě na tento odpojovací disk, nejlépe přes tvé připravené skripty.
odpojíš a žiješ dál, viry ať se jdou chuchnout.

síťové řešení by vypadalo jinak:
pro sběr záloh ze sítě bude sloužit nějaké atomové pc, čisté od malware (omezený účet, nepoužívané pro přístup na internet, chráněné třeba antiransomwarem).
https://www.gigacomputer.cz/zbozi/1336591-fujitsu-esprimo-q920-usff.html
výkon atomu, spotřeba 35w, nic moc: https://www.cpubenchmark.net/cpu.php?cpu=Intel+Core+i3-4130T+%40+2.90GHz&id=2035
to už spíš: https://www.mironet.cz/zotac-zboxci341be-mini-pc-intel-celeron-n4100-11ghz-2x-sodimm-bez-hdd-intel-uhd-2x-lan-bez-os+dp497731/
bude si mapovat ostatní pc v síti, bude mít přístup na oddíl na nasce pro zápis, tam bude přeposílat soubory. bylo by fajn vyřešit historii záloh.
ostatní pc mohou mít přístup k zálohám na nasce jen přes účet s právy ke čtení.

jinou možností je přístup přes nějaký "sync" a podobné protokoly, spouštěný ze strany nasky.
https://365tipu.cz/2022/07/18/tip2205-zmena-staje-zprovozneni-qnap-ts-364-a-prvni-zkusenosti/

Potřeboval jsem čas na klidné promyšlení rad. Nejde mi o to teď něco kupovat, ale vymyslet systém zálohování, který by splnil očekávání.

Lámu si hlavu s tím, jak se ten první model liší od mého původního modelu, kdy nabootuji ze speciálního "zálohovacího" USB se "zálohovacím" OS a připojím speciální zálohovací disk, který běží jen v prostředí "zálohovacího" USB? Podle toho, co jsem o Zalmanu a bootovacích krabičkách našel, je rozdíl v tom, že zde se ten OS spustí, díky jeho obrazu na USB zavedeném k pevnému disku, přímo na pevném disku, ne na USB - v čem je ale plus z hlediska bezpečnosti zálohy nebo uživatelského komfortu (vedle toho, že není potřeba mezičlánek typu programů, které z .iso vytvoří bootovací médium)? Nemůžu najít podstatný rozdíl - to samozřejmě neznamená, že tam není.

(HDD bez SMR - bez SMR proto, že bude levnější, aniž by tím majitel o něco přišel, nebo to má i nějaký podstatnější důvod?)

Asi bych se bál kupovat cokoli na zálohování z bazaru, když všude čtu, jak skoro nikdo neumí čistě naformátovat disk - bál bych se té teoretické možnosti, že když něco opomenu (třeba něco, co by profík neopomenul), budu mít místo spolehlivé metody zálohování poškozené veškeré zálohy.

Využití té síťové cesty by předpokládalo výrazné zlepšení mé pc gramotnosti, mám povědomí o tom, že počítače v jedné siti spolu můžou komunikovat, ale nikdy jsem to nezkoušel prakticky využít. Takže bych se nyní zeptal jen obecně: je to opravdu bezpečné? Když dojde k napadení počítače a ostatní uživateké budou "mít přístup k zálohám na nasce jen přes účet s právy ke čtení", nejde to nějak prolomit a zálohovací pc infikovat? Kdybys porovnal můj původní návrh a tenhle postup, kde je větší pravděpodobnost prolomení ochrany?

tvuj roman se nedal moc cist.
nemuzes zalohovat z toho potencialne napadeneho pc pod stejnym uctem, pod kterym pobezi i vir a napadne ti pripojenou zalohu. toho si asi jsi vedom, kdyz pises o bootu z linuxu. jinou moznosti je ten hirens pe, jestli ti vice vyhovuji osekane windows.
ten boot box (iodd, zalman) umozni vybrat .iso, ze ktereho nabootujes.
zalohovane dokumenty odlozis primo na ten box, na nic jineho ho nebudes pouzivat.

kdyz by byla potreba zalohovat bezpecne par pc, toto se jeste s usb mediem da.

anebo automatizovana varianta se "sbernym pc" ve vetsi siti, co si sam postupne projde a namapuje pc v siti, zalohy stahne bud na svuj druhy velky disk, nebo je posle na sitovou nasku.
ten sberny pc neni pro bezne uzivani, pro zadne surfovani. musi byt bezpodminene cisty.

Pokud bootovací box umožňuje vybrat z více různých .iso, které tam je třeba nejdřív dodat z nějakého jiného média, pak pro mě ale za předpokladu, že

- bych ho používal jen jako zálohovací zařízení,
- bych zálohoval vždy ve stejném operačním systému (jiném než v tom, v němž běžně pracuji),
- mi nezáleží na rychlosti zálohování,

má přidanou hodnotu jen v tom, že si nepotřebuju pro zálohování ponechávat USB disk s funkčním OS připraveným k bootu programem typu Rufus, stačí mi na nějaký USB disk "mechanicky" dát .iso soubor a ten pak můžu z média, z něhož jsem ho přenesl, smazat. V tomhle ohledu je tedy bootovací krabička jednodušší, ale z hlediska bezpečnosti je to (pokud použiju bezpečný program typu Rufus) stejné jako bootovat z USB jiný OS (OS 2) než ten, v němž normálně pracuju (OS1), připojit zálohovací externí disk připojovaný jen v OS2 a z disku užívaného v OS1 kopírovat.

Pletu se?

- bych zálohoval vždy ve stejném operačním systému (jiném než v tom, v němž běžně pracuji)

ano, je to jiná instalace, nikdy se nespouští systém z c:
už jsem to psal: na boot boxu může být několik .iso skoro libovolného systému, třeba minimalistický win7, nebo win10 pe (viz hirens 64, celkem pomalý start), stažené iso antivirového cd, záchranné cd některého zálohovacího programu, tučňák ...
no je to jedno, ten box iodd už v tom bazaru nemají, asi jsem mu dělal moc velkou reklamu.

ale je možné si vyrobit pomocí nějakého "windows to go" boot flashku ... doporučuju spíš nvme box, zase kvůli iops, i tak to bude bída.
nevím nakolik je ta věc přenositelná mezi více pc s odlišným hw, můžeš testovat. ale pro zálohy tvého pc klidně.
komentáře k té věci: https://www.czc.cz/geek/it-bastlirna-windows-to-go-aneb-jak-mit-svuj-pocitac-neustale-u-sebe/clanek

anebo úplně jiná cesta, kterou tu popisují další: spouštět nějakou virtuálku = vždy čistý systém.
ta si pomocí skriptu přimapuje síťový disk, na který neuvidí tvůj potenciálně zamořený běžný pracovní os, protože přístupová práva různých uživatelů.
součástí skriptu rovnou může být xcopy/robocopy souborů na ten síťový disk.
pro vir v hlavním systému je tento síťový disk neviditelný. a nenapadnutelný, když všude v síti předpokládáme vyšší verzi smb protokolu a normální profi verzi windows bez anonymního sdílení.

Bez SMR to asi bude dražší.

SMR je "trik" jak na stejnou plochu narvat víc dat, za cenu toho, že se ti datové stopy částečně překrývají jako šindele, takže je to jednak méně spolehlivé (při každém čtení stopy se ti do toho jako šum přičítají sousední data, takže je musíš odfiltrovávat), jednak (skoro) jakýkoli zápis vyžaduje následně přepsat ještě všechny stopy nad ním až do konce bloku (ok, tak se to různě cachuje a požadavky se spojí, ale většinou pak stejně přepisuješ i data, na která jsi nesahal. Hodně takových dat.) Jako vedlejší důsledek ono to přepisování taky nějakou dobu trvá (takže následně je zápis pomalejší) a během toho to nesmí v blbou chvíli ztratit napájení, jinak ti to může zmršit nějaká naprosto nesouvisející data, na která jsi ani nesahal. No a taky to tím pádem žere víc elektřiny (protože ty zápisy navíc)

Čili bez SMR to bude dražší, ale asi spolehlivější, odolnější a úspornější.

jezis ja jsem necetl ani tu tvoji reakci, skoncil jsem u prvni vety - a ted vidim, ze je to hromada az nesmyslu.

smr disk je hustsi zpusob zaznamu. u jednomuzneho pouziti z usb disku to neni takova tragedie.

boot boxy samozrejme startuji system ze sebe, podobne jako boot flaska. jen umoznuji po zapnuti vybrat z vice ruznych .iso, vyse jsou nejake odkazy.

boot z usb disku je samozrejme mnohem pomalejsi nez z pc. mozna se ti casem bude hodit puvodni 1tb disk z boxu nahradit ssd (mnohem vyssi iops).
zalezi na velikosti zalohovanych dokumentu, na cene ssd at se to vejde.
puvodni 1tb disk by pak slouzil jako obycejne usb.
ze nekdo neumi zformatovat disk: no muj problem to neni, nevim jak ty. ten box uz muze byt pripraven k pouziti, je u nej navod.
ano, je to bazarovy kousek, chapu. ale taky mozna posledni dostupny kus v republice. vratit to jde ve 14denni lhute.
novejsi s jinym ovladanim jsou iodd2541.

rozhodnuti je samozrejme na tobe.

jeste k siti:
no jak to ctu, bude lepsi kdyz na to zapomenes.
nemas ani zaklady windows kdyz neznas ruzne uzivatelske ucty a pristupova prava, nevis zrejme nic o mbr/gpt discich kdyz je formatovani problem.
nekomplikuj si zivot siti.

Nečetl jsem ta kvana textu, ale dám tip. Chránit data proti přepisu lze pomocí TrueCrypt. Předpokládám, že zpomalení bude nepozorovatelné. Stačí využít "pouze pro čtení". Vím, že to není odpověď na zadání dotazu. Přesto to dávám ke zvážení.

Maximalni ochrana?

Vcelku jednoducha vec: nekolik kombinovanych offline a online zaloh s kontrolnimi soucty, ktere navic neustale kontrolujes. Pokud to navic doplnis "vypalovacim" systemem, mas data dokonale ochranena.
(Vypalovaci system mohou byt media ruzneho typu, od ruznych CD, DVD, BR medii, po paskove jednotky, spolecne maji to, ze na ne lze zapsat pouze jednou. Pozor zase ale na spolehlivost nekterych jednozapisovych typu ulozist.

Stupen ochrany spis vychazi od dulezitosti chranenych dat, protoze s vyssi bezpecnosti prichazi take vyssi cena za zalohovani. Jine pozadavky tak budou na zalohovani digitalnich dat bezne domacnosti a jine bude mit vedecky pracovnik jaderneho vyzkumu.

Zpět do poradny Odpovědět na původní otázku Nahoru