Frage: Kann Ransomware auch Sparsebundles angreifen?

wavelow

Akerö
Registriert
09.09.14
Beiträge
1.807
Weil ich grad wieder mal an meinen Backup Strategien bastle:

Auch wenn es Apple Rechner nicht so hart betrifft aber die latente Gefahr ist ja da: Wenn Ransomware zuschlägt, kann diese auch verschlüsselte Sparsebundle Backups angreifen? Also z.B. an HDD die am Mac hängen, auf Netzwerklaufwerken usw.
 

wavelow

Akerö
Registriert
09.09.14
Beiträge
1.807
Hmm... Ich muss also irgendwie eine Trennung vom System hinbekommen um 100% sicher zu gehen. Zum Beispiel die Platte auf der das Sparsebundle liegt komplett offline nehmen oder "entmounten"?

Wollte ja gern was völlig automatisiertes aufbauen ohne jeden Tag eingreifen zu müssen...
 

echo.park

deaktivierter Benutzer
Registriert
08.06.11
Beiträge
11.076
Ja, natürlich, der Inhalt einer Datei ist doch völlig egal. Es spielt nur eine Rolle, ob der Benutzer-Account, unter dem die Ransomware läuft, Schreib-, bzw. Löschrecht auf die schützenswerten Dateien hat.
Oder die Rechte werden "ergaunert". Das macht Malware ja nicht gerade selten...
 

wavelow

Akerö
Registriert
09.09.14
Beiträge
1.807
Für ein backup ist auch die räumliche Trennung wichtig.
Ja das ist so auch geplant. Ich möchte mir aber das tägliche mitschleppen eines physikalischen Datenträgers ersparen, also irgendwas mit Backup in eine Cloud oder auf einen Server die nur zum Backup verbunden werden und wo böse Geister im Falle des Falles nicht heran kommen.

NAS gebe ich grad wieder auf. Durch diesen kleinen GAU geweckt habe ich versucht die Daten von der NAS Platte wieder zu bekommen. Das ist dann doch deutlich komplizierter als gedacht. Einfach an einen Linux Rechner hängen ging nicht. Mühselig mit Testdisk und einer Linux Distro versucht, irgendwann habe ich es aufgegeben. Alle Rettungstools hätten nur tausende Dateien durchnummeriert ohne Struktur herausgefischt... Darauf habe ich dann in diesem Falle verzichtet da diese Daten die wiederbeschaffbar sind die da drauf hatte.

Hast Du mal getestet was passiert wenn Dein NAS selber den Geist aufgibt? Also ob Du dann die Möglichkeit hättest wieder an die Daten auf den NAS Platten zu gelangen? Zum Beispiel indem du ein neues NAS besorgst und die dann dort reinschiebst... Käme man wieder heran? Oder auf einem wirklich selber probierten anderen Wege?
Ich habe mir das wie gesagt einfacher vorgestellt. Die NAS Platten waren ja auch noch verschlüsselt, in ext4, ext2 Kuddelmuddel formatiert. Damit kann ein Mac eh gar nichts anfangen, auch mit den ext2 Tools die es so gibt konnte ich nur sehen was so ungefähr da vor mir ist. Dran kam ich damit schonmal gar nicht. Und mit Linux auch nicht wirklich. Mir alles im Ernstfalle doch zu komplex.
 

wavelow

Akerö
Registriert
09.09.14
Beiträge
1.807
Hmmm... Ich teste das noch mal mit meinen QNAP... Wenn ich die HDD lesen kann auch ohne das Ding, dann muss ich nochmal umplanen :)
 

wavelow

Akerö
Registriert
09.09.14
Beiträge
1.807
Zumindest bei Synology kann man das ext4-Filesystem mit Linux lesen bzw. das Backup mit Hyperbackup Explorer auslesen.
Hab es heute mal probiert. Problem: meine Platten im NAS (meines ist ein QNAP) sind verschlüsselt. Ich komme im Linux bis fast zum einhängen, es will nur noch das Passwort der Platten wissen. Dann verweigert Linux aber das einhängen. Mal eben so ist da wohl kein rankommen. Und in einem Jahr oder später wüsste ich komplexere und evtl. mögliche Methoden eh nicht mehr.

Ich müsste also wohl die Platte ohne Verschlüsselung betreiben. Hmmm.... Dann würde ich sofort rankommen.

Man könnte z.B. jeden Tag ein verschlüsseltes read only dmg schreiben.
Das gefällt mir auch. Ich habe es mal mit Keka probiert. Klappt schon mal.
Könnte man nicht auch jede andere Datei auf "read-only" schalten? Zum Beispiel eine Archivdatei die mein Backupprogramm ablegt?
 

Kernelpanik

Herrenhut
Registriert
05.03.04
Beiträge
2.300
... Ich habe es mal mit Keka probiert. Klappt schon mal.
Könnte man nicht auch jede andere Datei auf "read-only" schalten? Zum Beispiel eine Archivdatei die mein Backupprogramm ablegt?
Ja, aber wenn sie auf ein anderes System kopiert werden (gestohlen, verloren oder was immer) können sie trotzdem geöffnet werden.
Aber um auf das Thema zurückzukommen. Ransomware sperrt entweder das System oder es müsste Dateien verschlüsseln und das Original löschen. Das erste ist beim Mac unwahrscheinlich, weil im System seit csrutil nichts mehr geändert werden kann. Man könnte die einzelnen User sabotieren, aber da muss für die kritischen Dinge auch der Admin aufgerufen werden. Ranzware halte ich auf dem Mac nicht für ein Problem, das Daten gestohlen werden schon eher. Ausserdem Backups mit GUI Programmen von Drittherstellern würde ich nie verenden. Braucht es auch nicht ist ja schon alles im OS integriert: hdiutil, rsync, TimeMachine
 
Zuletzt bearbeitet:
  • Like
Reaktionen: wavelow und ottomane

wavelow

Akerö
Registriert
09.09.14
Beiträge
1.807
Ausserdem Backups mit GUI Programmen von Drittherstellern würde ich nie verenden.
Ich nutze das weil ich nur einen einzigen Ordner wirklich backuppe und ich die GUI mag. Alles andere ist mir nicht so wichtig, das macOS System lässt sich wieder herstellen. Mein Backup Tool erstellt auch kein eigenes Format sondern verschlüsselte sparsebundles die ich auch nur mit reinen Mac Bordmitteln einfach wieder öffnen kann. Mit rsync kam ich nicht so wirklich zurecht, Time Machine ist zu unflexibel für meine Wünsche.

Aber der Tipp mit den DMG war gut. Das gefällt mir für reine Archivdaten ganz gut.
 

Kernelpanik

Herrenhut
Registriert
05.03.04
Beiträge
2.300
Einfacher als rsync geht es nicht. Terminal oder Shellscript:
Code:
rsync -a /nur/einen/einzigen/Ordner /einen/anderen/einzigen/OrdnerBackup


Oder mit einem Applescript:
Code:
do shell script "rsync -a /nur/einen/einzigen/Ordner /einen/anderen/einzigen/OrdnerBackup"

Es gibt zudem Optionen für rsync. Logfile schreiben, auf dem Ziel alles löschen was im Quellordner nicht vorhanden ist. Eine Liste mit Exklusionen einfügen und einiges mehr.
 
Zuletzt bearbeitet:
  • Like
Reaktionen: wavelow

wavelow

Akerö
Registriert
09.09.14
Beiträge
1.807
Zumindest bei Synology kann man das ext4-Filesystem mit Linux lesen bzw. das Backup mit Hyperbackup Explorer auslesen.
Boah ey.... 2 - 3 Tage herum experimentiert unter welcher Konstellation ich wie an die Daten der ausgebauten NAS HDDs heran komme. Solche Experimente können sich echt ziehen :eek:

Das große Problem war die hardwareseitige Verschlüsselung der NAS HDDs durch das NAS. Die ausgebaute Platte unter Linux oder sonstwo zugreifbar zu machen scheint fast unmöglich. Trotz aller möglichen Tipps, Tricks und Hinweise die es zu dem Thema gibt. Am Ende, wenn man sich mühevoll an die entsprechende Stelle navigiert hat wird das Passwort der NAS Platte von Linux einfach nicht akzeptiert bzw. ignoriert. Bei den (aktuellen) QNAP NAS kann man sich nur einmal bei der Einrichtung entscheiden ob man verschlüsseln will oder nicht. Alles oder nichts, nachträglich aussschalten geht nicht, ebenso nicht nur Teile der Platte zu verschlüsseln. Hier scheint auch irgendwo der Haken beim Fremdzugriff zu liegen.
Wer also recht sicher sein möchte, dass niemand an die Inhalte einer entwendeten NAS Platte kommt: QNAP hats ganz gut drauf :cool:

Erst wenn ich das NAS mit unverschlüsselter Platte (Werksstandard) einrichte, klappts. Sowohl mit Linux ohne jedes Problem als auch auf dem Mac mit Paragons extFS for Mac ist dann ein direkter Zugriff auf eine ausgebaute QNAP NAS Platte möglich. Die Testversion reicht für eine Rettungsaktion aus. Sehr schön, so möchte ich das. Handelt sich bei mir auf dem NAS eh meist nur um Medien, die keine persönlichen Daten beinhalten. Hier ist es mir wichtiger diese im Notfall retten zu können als Zugriffsicherheit durch Dritte.
Persönliche Daten auf dem NAS sind so oder so dort schon durch mich verschlüsselt abgelegt wie in jeder Cloud. Ein Dieb der NAS Platte hätte zwar mediales Entertainment aber keinerlei persönlichen Daten.


Einfacher als rsync geht es nicht. Terminal oder Shellscript:
Ich danke Dir vielmals für diese Tipps. Ich muss mich mich mal damit näher beschäftigen. Ich bin nicht so der Script- und Terminaltyp muss ich zugeben. Ich vergesse solche Dinge immer wieder recht schnell :innocent: Ich müsste auch verschlüsselt aufs NAS speichern. Geht das auch mit rsync?
 
  • Like
Reaktionen: ottomane

Kernelpanik

Herrenhut
Registriert
05.03.04
Beiträge
2.300
Jeder der schreiben kann ist ein Script oder Terminal Typ. Verschüsselt? Wie den? Encrypted DMG? oder encrypted zip oder was?

rsync funktioniert auch so: (Terminal)
Code:
rsync -av "/Users/x/Documents/Ordner1" "/Users/x/Documents/Ordner2" "/Users/x/Documents/Document3.txt" "/Users/x/Musik/Document4.pdf" "/Users/x/Library/Ordner5" "/Volumes/NAS/Zielordner"

So werden alle Daten 1 - 5 nach Zielordner geschrieben.

Encrypted zipen geht ähnlich:
Code:
zip -P 'password' -r /archivPfad/Ziel.zip Ordner1 Ordner2 Ordner3 Document4.pdf

Danach kann man die zips mit rsync rübertransportieren.

Encrypted dmg geht auch über Command line. Der Vorteil von Command line tools ist, dass sie keine User interaktion brauchen und sie nach gewünschter Zeit vollständig automatisch ablaufen.
Das können GUI Programme teilweise auch aber wenn der Agent abkackt oder der Deamon auf ein Hinderniss stösst ist Ende der Zuverlässigkeit. Ich könnte mir Computerarbeiten ohne launchd, rsync und hdiutil und Applescript nicht mehr vorstellen.
 
Zuletzt bearbeitet:
  • Like
Reaktionen: ottomane und dg2rbf