Ransomware e Volumi crittografati

[Viper]

Ciao,
non sono un esperto di sicurezza, anzi, sono il tipico utente con un livello base di queste nozioni ma con la consapevolezza dei rischi, e della certezza, del fatto che è sempre possibile perdere i propri dati importanti per un motivo o per l’altro.

Mi è quindi venuto un dubbio in merito all’uso di volumi crittografati e del pericolo di vederli “distrutti” a causa di un ransomware.

Mi chiedevo infatti se creare sul NAS un volume crittografato ove riversare dati importanti possa in un certo senso proteggerli da un attacco di questo tipo (localmente intendo, ovviamente ho un backup classico su disco esterno).

Se il volume all’accensione del NAS è infatti bloccato, un ransomware credo non possa attaccare le cartelle in esso contenute (ad esempio diffondendosi alla cartelle collegate come cartelle di rete in un pc windows ma che infatti non sono accessibili finché il volume non viene sbloccato/montato) è corretto?
Nel momento in cui viene sbloccato però il ransomware potrebbe a quel punto avere accesso e silenziosamente crittografare i dati e fare il danno, giusto?

Diversamente, usare un volume non crittografato e creando in esso una cartella protetta da password, è un livello di “sicurezza” (passatemi il termine) inferiore?
Ovvero, se si inserisce la password e si sblocca la cartella direi che si cade direttamente nel caso sopra appena citato, ma se la cartella resta bloccata il ransomware potrebbe “crittografare la cartella crittografata” oppure il sistema operativo impedisce l’accesso alla stessa finché bloccata?

Grazie in anticipo a chi mi scioglierà i dubbi.
Ciao.

[FFFAB]

Ciao,
il discorso sarebbe (anzi "é") piuttosto lungo, ma, a grandi linee, è come dici tu.
Nella pratica però la crittografia serve solo per rendere inaccessibili i dati nei dischi (volumi o cartelle poco importa) nel caso questi venissero rubati: non viene usata per contrastare i ransomware e simili.
Per fare ciò invece i modi migliori sono l'integrazione e la convergenza di 3 sistemi che, assieme e con valenze diverse, prevengono il problema:

1) backup mirati e personalizzati
2) uso di istantanee
3) strategie di accesso del tipo "chi fa cosa"

Quello che intendi tu è grossomodo la somma di 1 e 3: i contenitori sono smontati (tipo un disco usb non collegato) quindi cartelle e files non sono presenti ed inoltre, una volta montati, accessibili in scrittura solo se l'utente può farlo.
Usare le istantanee è oggi semplice ed alla portata di tutti, quindi sorvolo: basta un po' capire come funzionano e che non sono da confondere con una copia dei dati. La quota di volume interessata è INACCESSIBILE, quindi il malevolo manco la vede...

Molto più ragionato è invece il discorso del backup che, in parte, viaggia a braccetto con gli accessi: ad es, un backup accessibile al ransomware è, molto semplicemente, un.... "NON backup".

Pur non essendo la risposta definitiva, pensare una valida (valida per te) strategia di backup e ragionare grazie agli utenti ed ai relativi privilegi, già aiuta al 99% ad annullare (o cmq fortemente mitigare) gli effetti di un'infezione. Se i dati variano tanto, si può pensare anche alle istantanee.

PS: Uno dei loro limiti sta nel fatto che la quota a loro riservata è definita a priori, quindi se il ransomware fa variare in continuazione il file (e può farlo) e se l'istantanea è automatica, vengono create talmente tante immagini che si perde la possibilità di "tornare indietro" perchè in ogni possibile punto di ripristino il files non è ricostruibile in originale.

Discorso, come dicevo, praticamente senza fine...

[Viper]

Innanzitutto, grazie mille per le spiegazioni che mi hai dato, purtroppo tra l'una e l'altra mi son sorti altri dubbi che vado a spiegare di seguito.

1) backup mirati e personalizzati
2) uso di istantanee
3) strategie di accesso del tipo "chi fa cosa"

Il punto 1) l’ho implementato, tra un insegnamento e l’altro appreso leggendo man mano il forum, creando, come la chiamo io, una doppia “copia di salvezza” (ovviamente al giorno XX del backup) che tengo al sicuro in posti diversi; un backup pianificato automatico su un diverso storage pool su disco/volume dedicato a questo scopo nel NAS ed un backup manuale su disco USB.

I dati non hanno un’elevata variabilità pertanto con questa soluzione credo di poter dormire sonni abbastanza tranquilli e quando necessario aggiorno la “copia di salvezza”.

Ho abilitato poi anche le istantanee (anche se i dati hanno, comunque, scarsa variabilità).

Quello che intendi tu è grossomodo la somma di 1 e 3: i contenitori sono smontati (tipo un disco usb non collegato) quindi cartelle e files non sono presenti ed inoltre, una volta montati, accessibili in scrittura solo se l'utente può farlo.

Scusa ma avrei bisogno di chiederti un chiarimento a questo punto…una volta che il disco è montato, se il ransomware è presente sul PC il malware può accedere solo alle cartelle che sono mappate come unità di rete (con il relativo binomio utente/password inserito in fase di creazione) per quel PC o può vedere tutte le cartelle (che non sono quindi mappate come unità di rete) che sono presenti sui vari volumi sbloccati (in pratica quelle che, in un SO Windows, vedo accedendo al NAS via EsploraRisorse-->Rete-->NOME-NAS-->Cartelle ed inserendo utente/password quando lo chiede) ?

Può vedere anche il contenuto di un disco USB esterno sbloccato? (sempre non mappato come unità di rete sul PC)

Usare le istantanee è oggi semplice ed alla portata di tutti, quindi sorvolo: basta un po' capire come funzionano e che non sono da confondere con una copia dei dati. La quota di volume interessata è INACCESSIBILE, quindi il malevolo manco la vede...

Scusa l’ignoranza ma perché lo spazio riservato agli snapshot è inaccessibile? Perché vi ha accesso solo il sistema operativo al momento di creazione/ripristino ma non un utente admin tramite FileStation o da Storage&Snapshot (o magari da console)?

Pur non essendo la risposta definitiva, pensare una valida (valida per te) strategia di backup e ragionare grazie agli utenti ed ai relativi privilegi, già aiuta al 99% ad annullare (o cmq fortemente mitigare) gli effetti di un'infezione. Se i dati variano tanto, si può pensare anche alle istantanee.

Qui mi sono un po’ perso… provo a fare un esempio.
Se da un PC (infetto, ma ancora ovviamente non lo so) un utente NAS chiamato UtenteA ha diritti di lettura/scrittura su una cartella mappata come unità di rete su quel PC, il ransomware farà, purtroppo, il suo “lavoro” mentre se l’UtenteA ha diritti di sola lettura il ransomware non potrà toccare i dati?

Se è così mi verrebbe da dire però che la massima protezione si ha negando all’UtenteA il diritto di scrittura, ma così poi non può salvare i suoi dati dal PC al NAS e quindi il ransomware li distruggerà sul PC e non esisterà una copia degli stessi sul NAS, giusto?

Se invece non ho capito niente, mi potresti, per cortesia, spiegare un pochino più nel dettaglio come potrei gestire al meglio la questione utenti/privilegi per crearla sul mio sistema?
Brancolo un po’ nel buio mi sa…

PS: Uno dei loro limiti sta nel fatto che la quota a loro riservata è definita a priori, quindi se il ransomware fa variare in continuazione il file (e può farlo) e se l'istantanea è automatica, vengono create talmente tante immagini che si perde la possibilità di "tornare indietro" perchè in ogni possibile punto di ripristino il files non è ricostruibile in originale.

Ma se creo un’istantanea “sicura” nel senso che la creo oggi che so che i dati sono perfetti e dico a QTS di tenerla per sempre, nel caso in cui accadesse quello che dici tu ovvero che le successive n istantanee diventano inutili, non posso comunque tornare indietro a questo “punto zero” (perdendo ovviamente i cambiamenti veri, non quelli causati dal ransom, tra le n istantanee successive)?


Ti ringrazio nuovamente per il supporto, spero di non aver messo troppa carne (e domande) al fuoco tutte insieme..come dici giustamente tu il discorso è talmente vasto che, non essendo molto esperto in questo frangente, salta fuori un dubbio dietro l'altro parlandone!

[FFFAB]

Rispondo a grandi linee perché altrimenti la tariffa oraria della consulenza ti dissanguerà

I ransomware che conosco io, vedono in LAN tutto quanto è concesso loro vedere: scrivono (criptano) SE E SOLO SE l'utente loggato nella risorsa di rete può farlo. Se l'utente non ha privilegi r/w, il file non viene toccato.

Perciò:
1) ha poco senso usare in condivisione l'utente admin
2) i privilegi di "chi fa cosa" andrebbero ben distribuiti e ragionati
3) i backup devono essere il meno possibile in linea e l'utente abilitato a farli, non dovrebbe fare altro
4) mai salvare le password di accesso r/w in postazione
5) quindi, non mappare le unità di rete con connessione automatica all'avvio (se proprio, farlo con cartelle r/o)
6) ...bla bla bla...

Per rispondere alle tue preoccupazioni, ti faccio un esempio: un utente XY qualunque può scaricare i drivers AMD di una scheda video (tipicamente in collegamento WebDAV o FTP). Supponiamo che tale file sia presente in un NAS a casa del signor AMD: prova ad immaginare cosa accadrebbe a quel NAS se fosse così facile per il ransomware (anche remoto, cioè presente nel PC di XY) attaccare tutto il suo contenuto, comprese cartelle inaccessibili ad XY...
Il "successo" dei ransomware è direttamente proporzionale all'incapacità di tanti di prevederli: sai quanti NAS al mondo ci sono (per forza di cose sempre il linea) in cui l'unico utente impostato è admin?? Sto scarso se dico almeno 2 su 3...
Lo scrivo spesso ma lo ripeto volentieri: a mio parere il problema della sicurezza e della salvaguardia dei dati non è tanto legato a COSA mi compro (nas, firewall, raid...ecc ecc) ma dal COME lo uso (utenti, accessi, privilegi, solidità delle password, backup ben studiati ecc).
------
Le snapshots non sono mappabili o raggiungibili in qualche modo se non tramite il sistema che le ha generate (e che le sta gestendo): quello che volevo dire è che, sebbene non siano da confondersi con un backup, dalle risorse di rete di Windows (ad es) non le vedi. Possono essere certamente una valida (e molto comoda) integrazione al discorso backup.
Rispondo anche all'ultima tua domanda: se l'istantanea la tieni per sempre, è corretto che riesci a tornare al punto iniziale, ma sono nate per un uso più dinamico. Quello che intendi tu è, a tutti gli effetti un backup (lo tengo per "sempre").
PS: Nota che le snapshots sono usabili se lo è il sistema (che le ha create): se, ad esempio, ti si fotte il QTS ed il NAS non parte più, non servono a nulla per tentare di recuperare file eventualmente corrotti.
Ti lascio questo link (già dato altre volte) che spiega bene secondo me i limiti che hanno:

https://www.veeam.com/blog/it/how-snaps ... ether.html

-------
Faccio un copia/incolla di una tua frase perchè penso che sia la chiave di tutto:

"la massima protezione si ha negando all’UtenteA il diritto di scrittura, ma così poi non può salvare i suoi dati dal PC al NAS e quindi il ransomware li distruggerà sul PC e non esisterà una copia degli stessi sul NAS, giusto?"

Ho capito benissimo il tuo ragionamento, ma la risposta è NI: ti rispondo con un'altra domanda che spero solletichi la tua curiosità... COME l'utenteA crea i backup sul NAS (che è il COSA)???
Se il backup lo facesse un UtenteB tramite un software??? Tale software non sa nulla di A e risorse di rete non sanno nulla di B...corretto???

[Viper]

Rispondo a grandi linee perché altrimenti la tariffa oraria della consulenza ti dissanguerà

Mi sembra giusto, non vorrei far correre troppo in fretta le cifre del tassametro!

3) i backup devono essere il meno possibile in linea e l'utente abilitato a farli, non dovrebbe fare altro

Sono pienamente d'accordo , anche se in questo modo vien meno proprio l'utilità dell'automazione del backup da parte della macchina, no?

Nel senso che se un backup deve essere fatto dall'utente, va da se che in pratica lo rimanderà o si dimenticherà di farlo fino al giorno del disastro, in cui si maledirà per non averlo fatto prima!

Demandare al sistema (QTS) la pianificazione è invece un valido aiuto, ma un limite che ho riscontrato (backup di quanto contenuto nel NAS verso USB) è il non poter demandare al sistema di montare/smontare automaticamente un volume nel frattempo che ne viene fatto il backup (non inteso come montaggio automatico quando si salva la chiave sul NAS, cosa che peraltro non faccio).

E volersi assicurare di non lasciare in linea il backup però, gira che ti rigira, ti fa ricadere nel caso di prima (se devo mettere/togliere il disco e lanciare il programma di backup, sarò portato a rimandare l'operazione a domani, poi dopodomani, ...)

Ho capito benissimo il tuo ragionamento, ma la risposta è NI: ti rispondo con un'altra domanda che spero solletichi la tua curiosità... COME l'utenteA crea i backup sul NAS (che è il COSA)???
Se il backup lo facesse un UtenteB tramite un software??? Tale software non sa nulla di A e risorse di rete non sanno nulla di B...corretto???

La curiosità è stata ovviamente solleticata

Non so se sono andato fuori strada, se ho intuito bene..
Scusa ma devo provare a ricorrere ad un esempio pratico per spiegarmi, non essendo purtroppo molto formato su utenti/privilegi (ma mi sto rendendo conto esser molto importanti in questo contesto).

Ho una risorsa di rete (cioè il PC-A con il solo utente UtentePC) ed un NAS (dove ho creato UtenteA ed UtenteB).

Se UtenteA ha solo diritti di read mentre UtenteB li ha di r/w (sulla stessa cartella del NAS) allora posso:
- leggere da PC la cartella del NAS con le credenziali di UtenteA (anche se non ne avrei in effetti utilità essendo un backup della cartella che ho sul PC);
- demandare il backup di una cartella sul PC al software installato sul PC (che "passa", perdonami il termine, le credenziali di UtenteB quando fa l'accesso alla cartella di destinazione sul NAS).

Dunque il ransomware in questo caso acquisirebbe sul percorso di rete (che è la stessa cartella del NAS ove opera anche il software) automaticamente i diritti di UtenteA (e non quelli di UtenteB), restando di conseguenza "tagliato fuori" dal NAS (perchè quella cartella UtenteA la può solo leggere)?

Spero di non aver detto boiate!


Grazie di nuovo per il supporto!
Ciao!

[FFFAB]

è il non poter demandare al sistema di montare/smontare automaticamente un volume nel frattempo che ne viene fatto il backup

A parte che forse si riesce con maneggi in shell e/o app di terze parti (che non conosco), ho risolto molto semplicemente con un timer cinese da 3 euro che alimenta giornalmente il box usb solo per il tempo necessario (con adeguato margine).
Banale e funzionale.
Non ho mai trovato invece un timer hardware che aggancia/sgancia l'usb, ma sono certo che qualche mente orientale c'ha già pensato

Se UtenteA ha solo diritti di read mentre UtenteB li ha di r/w [CUT]
Dunque il ransomware in questo caso acquisirebbe sul percorso di rete (che è la stessa cartella del NAS ove opera anche il software) automaticamente i diritti di UtenteA (e non quelli di UtenteB), restando di conseguenza "tagliato fuori" dal NAS (perchè quella cartella UtenteA la può solo leggere)?
Spero di non aver detto boiate!

Nessuna boiata: tutto corretto.
Hai notato anche che, giustamente, non serve a nulla che UtenteA (del NAS) veda r/o la cartella: l'utente della macchina userà quella locale. Ricorda che il tema di base è il backup, non la condivisione: se si vuole anche questa, le cose cambiano un po', ma in generale fra privilegi, protocolli diversi e app si riesce sempre a risolvere.
UtenteB verrà usato solo per l'app di backup (eventualmente anche su altre macchine).

PS: Lo scrivo grande come una casa: TUTTO VA PERSONALIZZATO E TUTTO HA DEI LIMITI!!!
Quello che può andare bene per me, può essere sbagliato per te.
Fai cmq benissimo a ragionarci su, pensando a tutte (quasi tutte) le possibili sfighe che possono accadere e come fare per attenuare il colpo di un eventuale "attacco"

[Viper]

A parte che forse si riesce con maneggi in shell e/o app di terze parti (che non conosco), ho risolto molto semplicemente con un timer cinese da 3 euro che alimenta giornalmente il box usb solo per il tempo necessario (con adeguato margine).
Banale e funzionale.

Io avevo scartato questa soluzione perchè in quel modo non smonti il disco con l'apposito tasto di espulsione dell'unità esterna e di solito, o almeno a me è capitato facendo delle prove, il QTS la volta successiva che colleghi il disco ti dice che il file system deve essere corretto e avevo paura che ci potessero essere perdite di dati in questo modo...va tutto bene invece?

Quindi mi sembra di capire che non usi la crittografia per l'unità esterna?

Ps. Ma un disco USB crittografato dal NAS, lo si riesce a leggere da Windows o vi si accede solo dal QTS che lo ha creato?

Grazie di nuovo!!
Ciao!

[FFFAB]

Con il disco USB formattato NTFS di problemi non ne ho: se ben ricordo, li ebbi invece provando l'EXT4 per via della gestione cache (vado a memoria però, e mi posso sbagliare). Cmq a me col timer funziona tutto bene.

Sì, niente crittografia esterna, non ne sento il bisogno: la postazione non è accessibile facilmente e, pure per un ladro, t'assicuro che è complicato trovarla...

In merito alla lettura di un'unità esterna crittografata:

https://forum.qnap.com/viewtopic.php?t=121533

https://sourceforge.net/projects/freeotfe.mirror/