Computerbeveiliging
- Hoe je bad guys buiten de deur houdt
Verdediging tegen (offline) ransomware
06-11-2015, 09:03 door Anoniem, 11 reacties
Op het moment gebruik ik offline VHD's die versleuteld zijn met bitlocker.
Nu er ransomware is die ook offline bestanden kan versleutelen denk ik dat die VHD's niet veilig zijn omdat die als bestand zichtbaar en versleutelbaar zijn door de ransomware.
Ik lees hier regelmatig over veracrypt/truecrypt. Is het daarmee wel mogelijk dat er geen bestand zichtbaar is wat door de ransomware versleuteld kan worden? Zijn er nog meer manieren die de mogelijkheid tot encrypten blokkeren voor ransomware die mogelijk ook elevation tot admin in zich heeft?
Stel dat dit wel zo is, dan is het grappige wel weer dat je jezelf verdacht moet maken omdat je jezelf tegen criminelen probeert te beschermen.
Nu er ransomware is die ook offline bestanden kan versleutelen denk ik dat die VHD's niet veilig zijn omdat die als bestand zichtbaar en versleutelbaar zijn door de ransomware.
Ik lees hier regelmatig over veracrypt/truecrypt. Is het daarmee wel mogelijk dat er geen bestand zichtbaar is wat door de ransomware versleuteld kan worden? Zijn er nog meer manieren die de mogelijkheid tot encrypten blokkeren voor ransomware die mogelijk ook elevation tot admin in zich heeft?
Stel dat dit wel zo is, dan is het grappige wel weer dat je jezelf verdacht moet maken omdat je jezelf tegen criminelen probeert te beschermen.
Reacties (11)
Ik zou je computer uitschakelen en nooit maar aanzetten. Das de perfecte manier om je zelf te beveiligen hiertegen.
Door Anoniem: Ik zou je computer uitschakelen en nooit maar aanzetten. Das de perfecte manier om je zelf te beveiligen hiertegen.
Type machine FTW!"Hoe kan iets dat virtueel is, dus schijnbaar bestaat, nou slachtoffer worden van misbruik en hoe kan je dat voorkomen?"
Door het nog virtueler te maken misschien?
De .vhd extensie vervangen door een virtuele niet bekende extensie als ".disgrtvsjedk" en pas wijzigen in de juiste .vhd extensie als je haar echt nodig hebt?
Of zou ransomeware niet naar de extensie kijken maar naar een ingebakken specificatie?
Gebruik van aparte externe hd's voor je .vhd's nog een oplossing?
Door het nog virtueler te maken misschien?
De .vhd extensie vervangen door een virtuele niet bekende extensie als ".disgrtvsjedk" en pas wijzigen in de juiste .vhd extensie als je haar echt nodig hebt?
Of zou ransomeware niet naar de extensie kijken maar naar een ingebakken specificatie?
Gebruik van aparte externe hd's voor je .vhd's nog een oplossing?
07-11-2015, 11:08 door
Briolet
Door Anoniem: Ik lees hier regelmatig over veracrypt/truecrypt. Is het daarmee wel mogelijk dat er geen bestand zichtbaar is wat door de ransomware versleuteld kan worden?
Als ik schrijven van ransomware was, zou ik juist beginnen met het versleutelen van de veracrypt/truecrypt containers omdat daar waarschijnlijk de waardevolste data in staat.
Maakt niet uit in wat voor soort container je het plaatst. Als de malware maar geavanceerd genoeg is, kan het gaan versleutelen.
Het enige waterdichte advies?
Dagelijks incrementeel backups laten uitvoeren van je VHD's. Is de VHD gewijzigd, dan wordt er binnen 24 uur een backup van gemaakt. Je maximale dataverlies is dan 24 uur aan bewerkingen.
Het enige waterdichte advies?
Dagelijks incrementeel backups laten uitvoeren van je VHD's. Is de VHD gewijzigd, dan wordt er binnen 24 uur een backup van gemaakt. Je maximale dataverlies is dan 24 uur aan bewerkingen.
Ik had even de hoop dat iemand met kennis van veracrypt in een minuut het antwoord had kunnen geven dat mij 1,5 uur werk had bespaard.
Het antwoord is dus nee.
De verborgen containers/volumes waarover wordt gesproken zijn containers die worden gemaakt binnen een andere container die net als een VHD zichtbaar blijft als bestand. De buitenste container is daarmee kwetsbaar voor ransomware omdat de gebruiker die deze koppelt modify rechten op de container moet hebben om bestanden die binnen de container staan te kunnen bewerken.
Het idee waar ik mee speelde was om data te verdelen over meerdere VHD's en alleen de relevante VHD's te mounten voor de bewerkingen die je wilt uitvoeren. In die situatie wil je voorkomen dat ransomware de VHD's zou kunnen encrypten die niet gemount zijn maar dat gaat blijkbaar niet. Met verschillende gebruikers accounts werken helpt maar beperkt omdat veel malware in staat is om zichzelf admin te maken.
De enige oplossing is een fysieke scheiding van OS en data. Kortom harddisks eruit. Live-OS met quarantaine/staging area en een HDD dock/duplicator aan de buitenkant.
Data scheiden op losse encrypted HDD's en die regelmatig klonen op een 2e schijf met de dock/duplicator
Maakt wel dat al die oudere <1TB schijven ineens weer bruikbaar worden
Het antwoord is dus nee.
De verborgen containers/volumes waarover wordt gesproken zijn containers die worden gemaakt binnen een andere container die net als een VHD zichtbaar blijft als bestand. De buitenste container is daarmee kwetsbaar voor ransomware omdat de gebruiker die deze koppelt modify rechten op de container moet hebben om bestanden die binnen de container staan te kunnen bewerken.
Het idee waar ik mee speelde was om data te verdelen over meerdere VHD's en alleen de relevante VHD's te mounten voor de bewerkingen die je wilt uitvoeren. In die situatie wil je voorkomen dat ransomware de VHD's zou kunnen encrypten die niet gemount zijn maar dat gaat blijkbaar niet. Met verschillende gebruikers accounts werken helpt maar beperkt omdat veel malware in staat is om zichzelf admin te maken.
De enige oplossing is een fysieke scheiding van OS en data. Kortom harddisks eruit. Live-OS met quarantaine/staging area en een HDD dock/duplicator aan de buitenkant.
Data scheiden op losse encrypted HDD's en die regelmatig klonen op een 2e schijf met de dock/duplicator
Maakt wel dat al die oudere <1TB schijven ineens weer bruikbaar worden
Door Anoniem: Ik had even de hoop dat iemand met kennis van veracrypt in een minuut het antwoord had kunnen geven dat mij 1,5 uur werk had bespaard.
Het antwoord is dus nee.
De verborgen containers/volumes waarover wordt gesproken zijn containers die worden gemaakt binnen een andere container die net als een VHD zichtbaar blijft als bestand. De buitenste container is daarmee kwetsbaar voor ransomware omdat de gebruiker die deze koppelt modify rechten op de container moet hebben om bestanden die binnen de container staan te kunnen bewerken.
Het idee waar ik mee speelde was om data te verdelen over meerdere VHD's en alleen de relevante VHD's te mounten voor de bewerkingen die je wilt uitvoeren. In die situatie wil je voorkomen dat ransomware de VHD's zou kunnen encrypten die niet gemount zijn maar dat gaat blijkbaar niet. Met verschillende gebruikers accounts werken helpt maar beperkt omdat veel malware in staat is om zichzelf admin te maken.
De enige oplossing is een fysieke scheiding van OS en data. Kortom harddisks eruit. Live-OS met quarantaine/staging area en een HDD dock/duplicator aan de buitenkant.
Data scheiden op losse encrypted HDD's en die regelmatig klonen op een 2e schijf met de dock/duplicator
Maakt wel dat al die oudere <1TB schijven ineens weer bruikbaar worden
Het antwoord is dus nee.
De verborgen containers/volumes waarover wordt gesproken zijn containers die worden gemaakt binnen een andere container die net als een VHD zichtbaar blijft als bestand. De buitenste container is daarmee kwetsbaar voor ransomware omdat de gebruiker die deze koppelt modify rechten op de container moet hebben om bestanden die binnen de container staan te kunnen bewerken.
Het idee waar ik mee speelde was om data te verdelen over meerdere VHD's en alleen de relevante VHD's te mounten voor de bewerkingen die je wilt uitvoeren. In die situatie wil je voorkomen dat ransomware de VHD's zou kunnen encrypten die niet gemount zijn maar dat gaat blijkbaar niet. Met verschillende gebruikers accounts werken helpt maar beperkt omdat veel malware in staat is om zichzelf admin te maken.
De enige oplossing is een fysieke scheiding van OS en data. Kortom harddisks eruit. Live-OS met quarantaine/staging area en een HDD dock/duplicator aan de buitenkant.
Data scheiden op losse encrypted HDD's en die regelmatig klonen op een 2e schijf met de dock/duplicator
Maakt wel dat al die oudere <1TB schijven ineens weer bruikbaar worden
De kans op ransomware is ook heel klein als je een beetje goed oplet, meeste komt door files die als bijlagen door bv een phising-mail word mee gestuurd.
Ransomware is meer bangmakerij en als je gewoon offline backups maakt elke dag dan is er niks aan de hand denk hieraan een extra firewall en OS hardening te gebruiken met Linux, en stel een soort auth om inteloggen.
Door Anoniem: Ik zou je computer uitschakelen en nooit maar aanzetten. Das de perfecte manier om je zelf te beveiligen hiertegen.
Dan zou men dus capituleren voor die cybercrimelen,dan hebben zij dus gewonnen.Niks ervan! No surrender! Harde aanpak vd cybercriminelen,dat is wat de EU burgers eisen van de nationale en internationale autoriteiten!vermijden dat bestanden schrijfrechtenkrijgen. scherm netwerken af. maak op juiste manier backups. gebruik webmail, zodat je minder gemakkelijk bijlagen opent en omdat spamfiltering van webmail beter is omdat de massa die ze kunnen gebruiken voor screening groter is.
Het veiligst is volgens mij je backup schijven e.d. gewoon niet met internet verbonden hebben... en als je een backup maakt gewoon het internet even er uit.. uiteindelijk zit de beste virusscanner tussen het toetsenbord en in de stoelleuning :)
Backups en snapshots, dat laatste bij voorkeur via ZFS of BTRFS en natuurlijk ECC geheugen.
Is het nou zo moeilijk, guy?
Is het nou zo moeilijk, guy?
Reageren
Deze posting is gelocked. Reageren is niet meer mogelijk.
Specialiseer je in Forensisch ICT
Online informatieavond 19 november
Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:
- Bachelor Informatica Forensisch ICT (deeltijd)
- Master Digital Forensics (vol- en deeltijd)
- Module Mobile Forensics
- Module Data Analytics
Interesse? Meld je aan!
Information Security Officer (2fte)
Een uitdagende rol waarbij jij, op basis van security, de vertaalslag maakt tussen business en IT en direct bijdraagt aan de veiligheid van informatie binnen de gemeente Almere. Dat is in een notendop waar jij als Information Security Officer mee bezig bent. Interesse gewekt? Door groei van de organisatie zijn we op zoek naar twee nieuwe collega’s.
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
