Přidat otázku mezi oblíbenéZasílat nové odpovědi e-mailem Maximální ochrana proti ransomware při zálohování na ext. disk

Chtěl bych vás požádat o názor: existuje při níže uvedeném postupu možnost "zavirování" zálohovaných souborů nějakým velmi důmyslným svinstvem (i když by to třeba bylo velmi nepravděpodobné)?

Pracuji na Windows. Na pevném disku A zálohuji. Vypnu, z USB disku nabootoji Linux, připojím ještě pevný disk B , provedu zálohu dokumentů z disku A na disk B, pc vypnu, pevný disk B i bootací USB zase odpojím; následně pracuji na Windows, při příští záloze se vše opakuje. Bootovací USB se použije jen na zálohování a nikdy se po bootování z něj nebude surfovat na webu, aby se eliminovalo riziko stažení nějaké potvory, ani se na něm nebude dělat nic jiného než zálohování; pevný disk B se připojí jen při zálohování.

Jako laikovi se mi tento postup zdá mnohem bezpečnější než obyčejné občasné zálohování připojením zálohovacího disku k pc - klasický windowsácký ransomware (ani ten, který by cíleně šel po pevných discích až v momentu jejich připojení) by (na disku B) neměl mít šanci. Ale co když ke mně ve Windows třeba pronikne svinstvo škodící Linuxu (vím, že jich moc není, ale přesto), obejde "windowsácký" antivirus, ve Windows bude "spát", a začne škodit právě po nabootování Linuxu a připojení pevného disku v Linuxu?

Je to vůbec možné? A pokud ano, má to podobnou pravděpodobnost jako srážka Země s asteroidem v tomto desetiletí, nebo se člověku, který se chce řídit principem maximální opatrnosti, vyplatí pro jistotu postupovat nějak jinak? Jak? Běžné rady typu "mějte aktualizovaný OS, používejte antivirus, nenavštěvujte podezřelé stránky, nerozklikávejte přílohy neznámých původců" znám. Ale pokud už by nějaký ransomware úspěšně překonal ochranu, pak při běžném připojení zálohovacího disku můžu mít stejně po zálohách.

Ano, jsem si skoro jist, že mé úvahy budou znít hodně paranoidně, ale napadá vás něco, co by ochránilo zálohy proti ransomware a podobným typům hrozeb lépe než nastíněný postup (a umožnilo by mi obejít se bez poskytování dat třetím stranám nebo placení předražených služeb třetích stran - chci si vystačit se svépomocí)?

Díky předem.

Jsou zobrazeny jen nové odpovědi. Zobrazit všechny
Předmět Autor Datum
bootování z ssd: dokumenty nemívají bůhvíjakou velikost. takže to chce normální disk - hdd bez smr b…
lední brtník 05.08.2022 14:17
lední brtník
Potřeboval jsem čas na klidné promyšlení rad. Nejde mi o to teď něco kupovat, ale vymyslet systém zá…
jarda89 06.08.2022 10:59
jarda89
tvuj roman se nedal moc cist. nemuzes zalohovat z toho potencialne napadeneho pc pod stejnym uctem,…
brum brum 06.08.2022 11:39
brum brum
Pokud bootovací box umožňuje vybrat z více různých .iso, které tam je třeba nejdřív dodat z nějakého…
jarda89 06.08.2022 13:59
jarda89
- bych zálohoval vždy ve stejném operačním systému (jiném než v tom, v němž běžně pracuji) ano, je… poslední
lední brtník 08.08.2022 13:56
lední brtník

bootování z ssd:
dokumenty nemívají bůhvíjakou velikost. takže to chce normální disk - hdd bez smr bývají do 1tb, nebo ssd 250-500gb.
foukneš ho do bootovací krabičky: https://www.odkarla.cz/kryt-pevneho-disku-iodd-2531 (bazar, prý už je s 1tb diskem)
formát disku ntfs, bootovací adresář _ISO - do něj foukneš .iso svých oblíbených distribucí - live tučňák, hirens64, boot iso antiviru a další. čím menší/jednodušší, tím lepší.

https://pc.poradna.net/questions/3099338-externi-box-zalman-zm-ve-uz-se-v-cr-neprodava
formátování pokud je třeba: https://pc.poradna.net/questions/2840576-tip-zalman-ve-500-ve-300-ve-350-no-iso
nemusí být třeba: https://pc.poradna.net/questions/3099338-externi-box-zalman-zm-ve-uz-se-v-cr-neprodava#r3099379

po nabootování si postahuješ cenné dokumenty právě na tento odpojovací disk, nejlépe přes tvé připravené skripty.
odpojíš a žiješ dál, viry ať se jdou chuchnout.

síťové řešení by vypadalo jinak:
pro sběr záloh ze sítě bude sloužit nějaké atomové pc, čisté od malware (omezený účet, nepoužívané pro přístup na internet, chráněné třeba antiransomwarem).
https://www.gigacomputer.cz/zbozi/1336591-fujitsu-esprimo-q920-usff.html
výkon atomu, spotřeba 35w, nic moc: https://www.cpubenchmark.net/cpu.php?cpu=Intel+Core+i3-4130T+%40+2.90GHz&id=2035
to už spíš: https://www.mironet.cz/zotac-zboxci341be-mini-pc-intel-celeron-n4100-11ghz-2x-sodimm-bez-hdd-intel-uhd-2x-lan-bez-os+dp497731/
bude si mapovat ostatní pc v síti, bude mít přístup na oddíl na nasce pro zápis, tam bude přeposílat soubory. bylo by fajn vyřešit historii záloh.
ostatní pc mohou mít přístup k zálohám na nasce jen přes účet s právy ke čtení.

jinou možností je přístup přes nějaký "sync" a podobné protokoly, spouštěný ze strany nasky.
https://365tipu.cz/2022/07/18/tip2205-zmena-staje-zprovozneni-qnap-ts-364-a-prvni-zkusenosti/

Potřeboval jsem čas na klidné promyšlení rad. Nejde mi o to teď něco kupovat, ale vymyslet systém zálohování, který by splnil očekávání.

Lámu si hlavu s tím, jak se ten první model liší od mého původního modelu, kdy nabootuji ze speciálního "zálohovacího" USB se "zálohovacím" OS a připojím speciální zálohovací disk, který běží jen v prostředí "zálohovacího" USB? Podle toho, co jsem o Zalmanu a bootovacích krabičkách našel, je rozdíl v tom, že zde se ten OS spustí, díky jeho obrazu na USB zavedeném k pevnému disku, přímo na pevném disku, ne na USB - v čem je ale plus z hlediska bezpečnosti zálohy nebo uživatelského komfortu (vedle toho, že není potřeba mezičlánek typu programů, které z .iso vytvoří bootovací médium)? Nemůžu najít podstatný rozdíl - to samozřejmě neznamená, že tam není.

(HDD bez SMR - bez SMR proto, že bude levnější, aniž by tím majitel o něco přišel, nebo to má i nějaký podstatnější důvod?)

Asi bych se bál kupovat cokoli na zálohování z bazaru, když všude čtu, jak skoro nikdo neumí čistě naformátovat disk - bál bych se té teoretické možnosti, že když něco opomenu (třeba něco, co by profík neopomenul), budu mít místo spolehlivé metody zálohování poškozené veškeré zálohy.

Využití té síťové cesty by předpokládalo výrazné zlepšení mé pc gramotnosti, mám povědomí o tom, že počítače v jedné siti spolu můžou komunikovat, ale nikdy jsem to nezkoušel prakticky využít. Takže bych se nyní zeptal jen obecně: je to opravdu bezpečné? Když dojde k napadení počítače a ostatní uživateké budou "mít přístup k zálohám na nasce jen přes účet s právy ke čtení", nejde to nějak prolomit a zálohovací pc infikovat? Kdybys porovnal můj původní návrh a tenhle postup, kde je větší pravděpodobnost prolomení ochrany?

tvuj roman se nedal moc cist.
nemuzes zalohovat z toho potencialne napadeneho pc pod stejnym uctem, pod kterym pobezi i vir a napadne ti pripojenou zalohu. toho si asi jsi vedom, kdyz pises o bootu z linuxu. jinou moznosti je ten hirens pe, jestli ti vice vyhovuji osekane windows.
ten boot box (iodd, zalman) umozni vybrat .iso, ze ktereho nabootujes.
zalohovane dokumenty odlozis primo na ten box, na nic jineho ho nebudes pouzivat.

kdyz by byla potreba zalohovat bezpecne par pc, toto se jeste s usb mediem da.

anebo automatizovana varianta se "sbernym pc" ve vetsi siti, co si sam postupne projde a namapuje pc v siti, zalohy stahne bud na svuj druhy velky disk, nebo je posle na sitovou nasku.
ten sberny pc neni pro bezne uzivani, pro zadne surfovani. musi byt bezpodminene cisty.

Pokud bootovací box umožňuje vybrat z více různých .iso, které tam je třeba nejdřív dodat z nějakého jiného média, pak pro mě ale za předpokladu, že

- bych ho používal jen jako zálohovací zařízení,
- bych zálohoval vždy ve stejném operačním systému (jiném než v tom, v němž běžně pracuji),
- mi nezáleží na rychlosti zálohování,

má přidanou hodnotu jen v tom, že si nepotřebuju pro zálohování ponechávat USB disk s funkčním OS připraveným k bootu programem typu Rufus, stačí mi na nějaký USB disk "mechanicky" dát .iso soubor a ten pak můžu z média, z něhož jsem ho přenesl, smazat. V tomhle ohledu je tedy bootovací krabička jednodušší, ale z hlediska bezpečnosti je to (pokud použiju bezpečný program typu Rufus) stejné jako bootovat z USB jiný OS (OS 2) než ten, v němž normálně pracuju (OS1), připojit zálohovací externí disk připojovaný jen v OS2 a z disku užívaného v OS1 kopírovat.

Pletu se?

- bych zálohoval vždy ve stejném operačním systému (jiném než v tom, v němž běžně pracuji)

ano, je to jiná instalace, nikdy se nespouští systém z c:
už jsem to psal: na boot boxu může být několik .iso skoro libovolného systému, třeba minimalistický win7, nebo win10 pe (viz hirens 64, celkem pomalý start), stažené iso antivirového cd, záchranné cd některého zálohovacího programu, tučňák ...
no je to jedno, ten box iodd už v tom bazaru nemají, asi jsem mu dělal moc velkou reklamu.

ale je možné si vyrobit pomocí nějakého "windows to go" boot flashku ... doporučuju spíš nvme box, zase kvůli iops, i tak to bude bída.
nevím nakolik je ta věc přenositelná mezi více pc s odlišným hw, můžeš testovat. ale pro zálohy tvého pc klidně.
komentáře k té věci: https://www.czc.cz/geek/it-bastlirna-windows-to-go-aneb-jak-mit-svuj-pocitac-neustale-u-sebe/clanek

anebo úplně jiná cesta, kterou tu popisují další: spouštět nějakou virtuálku = vždy čistý systém.
ta si pomocí skriptu přimapuje síťový disk, na který neuvidí tvůj potenciálně zamořený běžný pracovní os, protože přístupová práva různých uživatelů.
součástí skriptu rovnou může být xcopy/robocopy souborů na ten síťový disk.
pro vir v hlavním systému je tento síťový disk neviditelný. a nenapadnutelný, když všude v síti předpokládáme vyšší verzi smb protokolu a normální profi verzi windows bez anonymního sdílení.

Zpět do poradny Odpovědět na původní otázku Nahoru