Limitare l'accesso in scrittura a una directory di backup aiuta a proteggerlo da ransomware?

4

So che questo è simile a questa domanda , ma non credo che sia un duplicato.

Hai un programma che esegue automaticamente backup regolari di tutti i tuoi file su una cartella o su un'unità montata.

Supponiamo che tu abbia configurato il tuo sistema in modo che l'unico processo che ha accesso in scrittura a tale cartella / unità sia il processo che esegue i backup.

Questo diminuirà significativamente la probabilità che vari programmi di ransomware possano toccare il contenuto di quell'unità / cartella?

Proteggerebbe almeno contro i programmi ransomware eseguiti senza privilegi di amministratore / root?

C'è qualche possibilità che potrebbe persino proteggere da quelli che hanno acquisito i privilegi di root / amministratore? (Anche la maggior parte dei ransomware ha questo?)

Immagino che in uno scenario davvero brutto, in cui il ransomware sia scritto e attrezzato in modo intelligente, c'è quasi sempre la possibilità che possa usare vari modi per aggirare la maggior parte delle cose. Anche se ciò è interessante, sono principalmente interessato a una situazione pratica, e cosa può realmente accadere se la vita reale dei ransomware si trovasse di fronte a una tale situazione. (L'accesso in scrittura alla directory di backup è limitato al solo processo che esegue il backup.)

Se questo ci aiuterebbe davvero a proteggerci, è relativamente facile configurarlo su vari sistemi operativi desktop?

Non sono interessato solo a Windows, poiché c'è stato anche casi confermati di ransomware su sistemi operativi Unix / Unix.

    
posta Revetahw 19.04.2016 - 07:23
fonte

1 risposta

3

Avere una directory di backup di sola lettura a cui si accede solo da un utente di backup avrà un impatto positivo sul numero di ransomware che può distruggere / alterare i backup. A seconda di questa soluzione only non proteggerà completamente il tuo sistema.

Esiste una serie di fattori riguardanti il ransomware, il che significa che dovrebbe essere utilizzata una strategia anti-ransomware completa. Ho fatto alcune ricerche di base e ho scoperto che mentre alcuni ransomware sarebbero stati ostacolati da questo solo, non è infallibile. Ecco alcuni suggerimenti utili:

Smonta backups

Fintanto che i file sono accessibili a livello di kernel, ci sono alcune possibilità di un attacco di escalation di privilegi che potrebbe bypassare i permessi dei file. Preferibilmente, il backup deve esistere su una macchina dedicata collegata attraverso la rete e deve essere montato dall'utente di backup prima di copiare i file. Questo riduce il tempo di esposizione per quei file da crittografare.

Backup di rete

Non tenere il backup sullo stesso computer che stai utilizzando. Questo è anche pratico nel senso che quando il disco rigido si blocca, è possibile andare al backup e ripristinare da lì. Di tanto in tanto vanno male. Ho avuto un disco rigido solo quest'anno a lanciare errori di settore illeggibili, ed è stato un backup (ma era già stato eseguito il backup prima che andasse male).

Esegui come utente normale

Molti utenti decidono di eseguire come amministratori locali (in particolare gli utenti di Windows), il che rende l'escalation dei privilegi più facile o non necessaria. Assicurati di aver effettuato l'accesso come amministratore / root per installare i programmi ed esegui come utente normale in tutte le altre volte.

Rinomina file

Crea uno schema di denominazione per le estensioni dei file. La maggior parte dei ransomware in realtà cerca solo alcuni tipi di file, come immagini, filmati, documenti e fogli di calcolo. Cose a cui tieni a cuore. Se i tuoi file di backup hanno estensioni diverse, la maggior parte dei ransomware ignorerà felicemente quei file a favore dei file che pensa ti interessino.

Sistemi patch

Molti pacchetti ransomware dipendono dagli exploit in Java, Flash, un browser o sistema operativo specifico o un driver. Assicurati di patchare il tuo software il più spesso possibile. Le infezioni drive-by sono ancora comuni, anche se la maggior parte del software drive-by tende a non utilizzare gli attacchi di escalation dei privilegi come di ritardo, quindi semplicemente mantenere aggiornato il software potrebbe essere un grande vantaggio. Questo include software di terze parti come Magento, Drupal e così via.

Anti-Virus

Mantieni un programma antivirus in esecuzione sul tuo computer, con corrispondenza euristica, se disponibile. La maggior parte dei venditori ha imparato a capire quando un ransomware non è all'altezza.

Honeypot (?)

Non conosco prodotti preconfezionati che facciano questo, ma potresti costruire un honeypot nel tuo file system in poche righe di codice. Fondamentalmente, crea una cartella denominata "a" nella tua home directory (/ home / a o / Users / a), e scrivi un piccolo programma che si aggancia all'ioctl per quella cartella. Termina qualsiasi programma che tenta di leggere da quella directory. In alternativa, scrivi semplicemente un demone che si aggancia alla tua cartella di backup e termina qualsiasi programma a cui non è collegato l'ID dell'utente di backup.

Ricorda che ci sono ancora altri modi per manipolare i tuoi file. In teoria, un virus dell'hypervisor potrebbe ottenere il controllo del tuo hardware e corrompere tutto senza che tu ne sia a conoscenza, fino a quando non fosse troppo tardi. Nessuno schema che potresti escogitare sarà sicuro al 100%. Tuttavia, gestendo con cura i backup offline, correggendo regolarmente le patch e limitando i privilegi dell'account utente, manterrai la maggior parte dei ransomware in gioco da te danneggiati. Questa è la stessa strategia di base che useresti per proteggere da qualsiasi altro tipo di virus.

    
risposta data 19.04.2016 - 09:55
fonte

Leggi altre domande sui tag