Nas e Ransomware, proteggersi con un Raspberry?

[aminix]

Salve a tutti,
spero di essere nella sezione giusta.

Faccio una breve premessa: Hanno cryptato i Nas di due miei clienti. Uno Zyxel e un Synology. Sullo Zyxel il recupero dati è stato del solo 25% in quanto si sono accorti di qualcosa che non andava. Ho verificato in remoto e stavano cryptando tutto. Per lo meno i dati del 2023 sono salvi.

Sul Synology invece hanno creato un file 7z unico da 770 GB. Anche loro mi hanno avvisato telefonicamente appena se ne sono accorti e ho detto loro di staccare il disco USB esterno al volo e spegnere intanto il NAS. Con il Synology sono riuscito a realizzare degli script che ogni 10 giorni mi facesse il Backup dei dati più importanti sull'unità esterna. Lo script si avvia alle h00:00 e solo in quel momento viene eseguito il mount dell'HD USB esterno per poi essere smontato appena finito il backup. In questo modo sarebbero dovuti essere salvi i dati in caso di attacco. E invece no, ho trovato il disco USB completamente svuotato ma fortunatamente non formattato o riscritto. Ciò mi ha dato la possibilità di fare un semplice 'undelete' dei file e di recuperare il 95% dei dati.

MA per arrivare all'USB esterno smontato penso che l'hacker a questo punto sia riuscito ad accedere direttamente la NAS, vedere gli script, montare il disco etc etc etc.

Mi è venuta quindi l'idea di utilizzare un raspberry per fare il backup su disco USB collegato appunto al Raspy.
1 - mettere un timer fisico che alimenti il raspberry (si accenderà da solo appena alimentato)
2 - fare degli script (e qui arriva il mio punto dolente) che copia i file dal NAS all'USB.
3 - a fine script spegnere il Raspy e dopo un certo tempo il timer togliere la corrente del tutto.

Potrebbe funzionare?
C'è qualcuno che avrebbe voglia e la pazienza di darmi una mano per realizzare gli scritp?

Grazie
Flavio

[GjMan78]

Mi è venuta quindi l'idea di utilizzare un raspberry per fare il backup su disco USB collegato appunto al Raspy.

Io uso un sistema simile per fare i backup del mio notebook su disco esterno, ciò premesso non so quanto possa essere affidabile un raspberry per una realtà professionale, specie sul lungo periodo.

1 - mettere un timer fisico che alimenti il raspberry (si accenderà da solo appena alimentato)
2 - fare degli script (e qui arriva il mio punto dolente) che copia i file dal NAS all'USB.
3 - a fine script spegnere il Raspy e dopo un certo tempo il timer togliere la corrente del tutto.

Per quanto riguarda il punto 2 non è poi così complesso se usi un software di backup come Vorta https://github.com/borgbase/vorta

Se fai qualche ricerca sul forum vedrai che ne abbiamo parlato in diverse occasioni.

Io in casa uso Vorta per fare il backup dei dati del notebook su un hard disk esterno collegato al raspberry.

Vorta permette di eseguire degli script prima e dopo il backup e li uso per montare e successivamente smontare il disco del raspberry usando sshfs, proprio per evitare che nel malaugurato caso beccassi un ransomware possa criptare anche l'unità di backup.

Come sicurezza aggiuntiva il raspberry fa un ulteriore backup degli stessi dati su un account Mega.

Una soluzione simile dovrebbe essere quello che cerchi, penso. Se hai altri dubbi chiedi pure.

[aminix]

non so quanto possa essere affidabile un raspberry per una realtà professionale, specie sul lungo periodo

La scelta cade sul raspy per il fatto che si accende da solo alimentandolo e senza dover premere un pulsante di accensione. Ma questo lo sai visto che lo usi. Ciò permette di essere irraggiungibile perché spento fisicamente dopo il Backup. Non so se sia poi facilmente rintracciabile nel lasso di tempo in cui sta acceso. Costa poco e occupa poco spazio. Vero che posso farlo anche con un PC impostando l'accensione dal bios. Ci penserò. Con il raspy però ho la porta GPIO che forse potrei sfruttare in qualche modo per staccarlo fisicamente dalla corrente a backup ultimato.

Proverò senz'altro vorta.

Grazie per i consigli per ora.

[xavier77]

Se il tuo scopo è la modalità di accensione, prendi in considerazione una zimaboard, che si accende in maniera simile, ma come storage non usa micro SD con tutti i rischi del caso (ci puoi mettere anche un ssd sata), ma soprattutto non è arm (architettura che ha alcuni limiti) e quanto ad espandibilità ha una porta PCI e non GPIO.

PS: non ricordo però se abbia l'accensione da BIOS.

[GjMan78]

Qualunque sia l'hardware che scegli di usare puoi sempre installarci sopra vorta + borgbackup.

Imposti vorta per fare il backup del nas sul disco esterno pianificando l'avvio del backup ad ogni accensione.

A fine backup fai spegnere il dispositivo con un semplice shutdown.

Sull'alimentazione della board (zima sicuramente è più indicata visto il target) colleghi un timer meccanico che ogni 24h stacca e riattacca la corrente. Ad ogni riavvio dell'alimentazione la board si riaccende e ricomincia il ciclo.

[thece]

Nas e Ransomware, proteggersi con un Raspberry?

Domanda (retorica): quanto valgono i vostri dati? Quanto siete disposti a investire per proteggerli?

MA per arrivare all'USB esterno smontato penso che l'hacker a questo punto sia riuscito ad accedere direttamente la NAS, vedere gli script, montare il disco etc etc etc.

Avete capito come siete stati violati e che cosa è stato compromesso? Siete sicuri che l'attaccante (1) non sia ancora dentro?

Non so se sia poi facilmente rintracciabile nel lasso di tempo in cui sta acceso.

A meno di un attacco automatico, se l'attaccante è bravo non avrà iniziato a compromettere i vostri sistemi appena trovato l'accesso, ma si sarà preso il tempo per studiarli.
Da quello che scrivi, ipotizzo che ci troviamo in uno scenario SOHO, con una LAN piccola. Capire quali host sono attivi è un attimo.

L'utilizzo di una presa elettrica programmabile, per accegnere / spegnere il "2° NAS" è importante non tanto per comandarne l'accensione / spegnimento, quanto per l'isolamento elettrico.
Un "2° NAS" spento, ma collegato alla rete elettrica e alla LAN tramite cavo Ethernet può sempre essere acceso tramite il WakeOnLine (se abilitato)



(1) Hacker per me ha un'altra valenza, positiva!

[OMBRA_Linux]

Non c'è difesa che tenga.
L'unico modo per stare sicuri al 99% è '''Accendere'' il Nas solo quando si devono trasferire Dati.

[korda]

Se il tuo scopo è la modalità di accensione, prendi in considerazione una zimaboard, che si accende in maniera simile, ma come storage non usa micro SD con tutti i rischi del caso (ci puoi mettere anche un ssd sata), ma soprattutto non è arm (architettura che ha alcuni limiti) e quanto ad espandibilità ha una porta PCI e non GPIO.

PS: non ricordo però se abbia l'accensione da BIOS.

Bella la ZimaBoard, caruccia in tutti i sensi: mi domando quale sia il confronto con un RaspberryPI 5. Dovrei farci un piccolo investimento a breve.

La prima ha una porta PCI, la seconda dovrebbe alloggiare delle SSD M.2. Difficile la scelta...

[korda]

Nas e Ransomware, proteggersi con un Raspberry?

Domanda (retorica): quanto valgono i vostri dati? Quanto siete disposti a investire per proteggerli?

MA per arrivare all'USB esterno smontato penso che l'hacker a questo punto sia riuscito ad accedere direttamente la NAS, vedere gli script, montare il disco etc etc etc.

Avete capito come siete stati violati e che cosa è stato compromesso? Siete sicuri che l'attaccante (1) non sia ancora dentro?

Non so se sia poi facilmente rintracciabile nel lasso di tempo in cui sta acceso.

A meno di un attacco automatico, se l'attaccante è bravo non avrà iniziato a compromettere i vostri sistemi appena trovato l'accesso, ma si sarà preso il tempo per studiarli.
Da quello che scrivi, ipotizzo che ci troviamo in uno scenario SOHO, con una LAN piccola. Capire quali host sono attivi è un attimo.

L'utilizzo di una presa elettrica programmabile, per accegnere / spegnere il "2° NAS" è importante non tanto per comandarne l'accensione / spegnimento, quanto per l'isolamento elettrico.
Un "2° NAS" spento, ma collegato alla rete elettrica e alla LAN tramite cavo Ethernet può sempre essere acceso tramite il WakeOnLine (se abilitato)

(1) Hacker per me ha un'altra valenza, positiva!

Mmmh... non sono praticissimo di hacking però effettivamente se l'attaccante ha predisposto una time-bomb o una logic-bomb la questione di accensione/spegnimento programmato non so quanto possa reggere.

[thece]

Mmmh... non sono praticissimo di hacking però effettivamente se l'attaccante ha predisposto una time-bomb o una logic-bomb la questione di accensione/spegnimento programmato non so quanto possa reggere.

Non si può avere la botte piena e la moglie ubriaca.
La soluzione per i backup imprevedibili è farli manualmente e comunque il "2° NAS" va tenuto normalmente OFFLINE.
Va da sè che nel momento in cui l'attività è in essere tutti i sistemi sono raggiungibili via rete.
Bisogna trovare il (proprio) punto di equilibrio tra sicurezza e comodità.