Karl Heinz: Fragen zu Locky bzw. Zepto Trojaner

Hallo,

ein Verwandter von mir hat sich den Zepto Verschlüsselungstrojaner (der ja ähnlich wie der Locky Verschlüsselungstrojaner arbeitet) eingefangen. Dies ist durch eine Unachtsamkeit passiert, da er das Makro ausgeführt hat, welches er im Zuge einer E-Mail zusammen mit einer Word-Datei erhalten hat. Ein Backup seiner Nutzdaten ist dummerweise nicht vorhanden.

Zu dieser Thematik habe ich ein paar Fragen:

Laut meiner Recherche gibt es absolut keine Möglichkeit wieder an die Daten ranzukommen. Stimmt das so?

Nun mache ich mir natürlich auch Gedanken über die Nutzdaten in meinem Netzwerk. Ich möchte herausfinden ob meine jetzige Datensicherung ausreicht um genügend gegenüber einem möglichen Locky bzw. Zepto Befall abgesichert zu sein. Dazu möchte ich kurz meine Netzwerk Konstellation erläutern. Es existieren überwiegend Linux Rechner, teilweise aber auch noch Windows Rechner. Alle Rechner binden die gleichen Freigaben als Netzlaufwerke ein, die physikalisch auf einem NAS liegen. Die Freigaben enthalten die Nutzdaten. Nun weiß ich das Locky bzw. Zepto auch Nutzdaten auf eingebundenen Netzlaufwerken verschlüsseln. Angenommen ein Windows Rechner wird vom Trojaner befallen, dann wären ja erstmal alle Nutzdaten verschlüsselt und damit verloren. Nun gehe ich aber her und sichere automatisiert mehrmals täglich mit Hilfe von „Back in Time“ die Freigaben auf dem NAS an eine andere Stelle im Netzwerk. Nun speichert „Back in Time“ die Nutzdaten ja nicht 1:1 sondern baut sein eigenes Verzeichnissystem auf, weil ja hier eine inkrementelle bzw. differentielle Datensicherung erfolgt. Schützt mich dieser Verzeichnisaufbau von „Back in Time“ vor Locky bzw. Zepto oder laufe ich bei dieser Konstellation Gefahr, dass Locky bzw. Zepto auch die Backups verschlüssen?

Wenn ja, wie könnte ich meine Netzwerkkonstellation dahingehend verbessern, dass das Backup vor Locky bzw. Zepto sicher ist?

Meines Erachtens ist die einzig sichere Möglichkeit in regelmäßigen Abständen auf einen externen Datenträger zu sichern der nicht permanent mit dem LAN verbunden ist. Finde ich halt ziemlich umständlich, weil das immer händisch realisiert werden müsste.

akzeptierte Antworten

  1. Moin,

    Laut meiner Recherche gibt es absolut keine Möglichkeit wieder an die Daten ranzukommen. Stimmt das so?

    muss man wohl so sehen. Eine Verschlüsselung, die relativ leicht zu knacken ist, wäre ja IMO auch ziemlich wertlos. Ob sie nun für seriöse oder bösartige Zwecke eingesetzt wird, ändert nichts an der technischen Qualität.

    Nun speichert „Back in Time“ die Nutzdaten ja nicht 1:1 sondern baut sein eigenes Verzeichnissystem auf, weil ja hier eine inkrementelle bzw. differentielle Datensicherung erfolgt. Schützt mich dieser Verzeichnisaufbau von „Back in Time“ vor Locky bzw. Zepto oder laufe ich bei dieser Konstellation Gefahr, dass Locky bzw. Zepto auch die Backups verschlüssen?

    Das schützt in keiner Weise. Auch wenn dieses Backup-Programm seine eigene Datenorganisation hat, speichert es doch aus Betriebssystemsicht wieder ganz normale Dateien, die auch von Schadsoftware verstümmelt werden können.

    Wenn ja, wie könnte ich meine Netzwerkkonstellation dahingehend verbessern, dass das Backup vor Locky bzw. Zepto sicher ist?

    Das Backup irgendwo ablegen, wo irgendeine Software nicht einfach so drankommt. Also z.B. auf einer externen Platte, die nach dem Backup ausgeschaltet oder abgestöpselt wird. Oder auf einer Netzwerk-Freigabe, die nur mit Benutzername und Kennwort zugänglich ist und nach dem Backup wieder getrennt wird.

    Meines Erachtens ist die einzig sichere Möglichkeit in regelmäßigen Abständen auf einen externen Datenträger zu sichern der nicht permanent mit dem LAN verbunden ist. Finde ich halt ziemlich umständlich, weil das immer händisch realisiert werden müsste.

    Tja ... vor einigen Jahren habe ich mal eine Steckdosenleiste gesehen, die anstatt des üblichen Schalters ein Relais hatte, das über einen USB-Anschluss geschaltet werden konnte. Keine Ahnung, ob sowas noch irgendwo angeboten wird, aber damit könntest du das Ein- und Ausschalten der externen Platte dann auch noch automatisieren.
    Für einen versierten Elektronik-Bastler wäre es auch denkbar, sich sowas selbst zu bauen. Aber im Interesse der eigenen Sicherheit lieber nicht direkt die Netzspannung schalten, sondern die 12V-Betriebsspannung der externen Platte.

    So long,
     Martin

    --
    Nothing travels faster than the speed of light with the possible exception of bad news, which obeys its own special laws.
    - Douglas Adams, The Hitchhiker's Guide To The Galaxy
    1. Hallo nochmal,

      Laut meiner Recherche gibt es absolut keine Möglichkeit wieder an die Daten ranzukommen. Stimmt das so?

      muss man wohl so sehen. Eine Verschlüsselung, die relativ leicht zu knacken ist, wäre ja IMO auch ziemlich wertlos. Ob sie nun für seriöse oder bösartige Zwecke eingesetzt wird, ändert nichts an der technischen Qualität.

      einen wichtigen Aspekt sollte man nicht vergessen: Zumindest bei Locky besteht ja ein Teil der Drohung darin, dass Daten von befallenen PCs bereits irgendwo im Internet gelagert wurden und veröffentlicht werden könnten. Das ist wohl der Grund, warum manche Opfer auf die Erpressung eingehen, obwohl sie ein Backup haben oder ihren Rechner einfach neu aufsetzen könnten.

      Darum: Vorbeugen ist immer besser, als auf die Schuhe zu kotzen.

      Ciao,
       Martin

      --
      Nothing travels faster than the speed of light with the possible exception of bad news, which obeys its own special laws.
      - Douglas Adams, The Hitchhiker's Guide To The Galaxy
    2. Hallo

      Laut meiner Recherche gibt es absolut keine Möglichkeit wieder an die Daten ranzukommen. Stimmt das so?

      muss man wohl so sehen. Eine Verschlüsselung, die relativ leicht zu knacken ist, wäre ja IMO auch ziemlich wertlos.

      Und dennoch lassen sich die verschlüsselten Dateien bei einigen der Erpressungstrojaner wieder entschlüsseln, ohne das Schutzgeld zu zahlen, weil die Programmierer Fehler gemacht haben. Locky bzw. sein Verwandter Zepto gehören meines Wissens nach aber nicht zu dieser Gruppe.

      Nun speichert „Back in Time“ die Nutzdaten ja nicht 1:1 sondern baut sein eigenes Verzeichnissystem auf, weil ja hier eine inkrementelle bzw. differentielle Datensicherung erfolgt. Schützt mich dieser Verzeichnisaufbau von „Back in Time“ vor Locky bzw. Zepto oder laufe ich bei dieser Konstellation Gefahr, dass Locky bzw. Zepto auch die Backups verschlüssen?

      Das schützt in keiner Weise.

      Jep.

      Aus leidiger Erfahrung [1] kann ich zu Zepto aber folgendes sagen. Die Malware verschlüsselt die Daten auf dem Rechner, auf dem sie aufgerufen wurde und auf Netzlaufwerken, auf die der Benutzer in Anwesenheit der Malware zugreift. Mehrere andere auf jedem Rechner in unserer Firma eingebundene Netzlaufwerke, auf die der betroffene Benutzer während der Infektion nicht zugegriffen hatte, sind nicht von der Verschlüsselung von Dateien betroffen gewesen. Das, trotzdem die Malware (zumindest) beim ersten Mal ca. fünfeinhalb Stunden Zeit hatte, unentdeckt ihr Werk zu tun.

      Achtung! Das heißt nicht, dass das Verhalten der Malware mittlerweile oder zukünftig nicht ein anderes sein kann. Das oben beschriebene Verhalten ist das, was ich etwa Anfang August 2016 beobachten konnte.

      Wenn ja, wie könnte ich meine Netzwerkkonstellation dahingehend verbessern, dass das Backup vor Locky bzw. Zepto sicher ist?

      Neben dem schon Gesagten gilt, dass Backups nicht von den eventuell infizierten Arbeitsrechnern aus gestartet werden dürfen, weil so – auch für die Erpressungssoftware – schreibender Zugriff auf das/die Backuplaufwerk(e) bestünde. Nicht nur, dass ein Backup der verschlüsselten Dateien erfolgte, auch für schon vorhandene Backups bestünde so die Gefahr der Verschlüsselung. Das Backup muss also von einem nicht infizierten Rechner aus erfolgen. Auf den Arbeitsrechnern besteht so nur lesender Zugriff und die Arbeitsrechner selbst, die wohl am ehesten der Infektionsgefahr ausgesetzt sind, sind dabei nur passives Element ohne Zugriff auf irgendwas.

      Verschlüsselte Dateien, die ja mit den vorher unverschlüsselten Nutzdaten nicht identisch sind, werden als neue Dateien ins Backup überführt. Das werden sie, wenn die Infektion nicht erkannt wird und keine Maßnahmen erfolgen, sowieso. Es kann aber verhindert werden, vorhandene, saubere Backups an die Malware zu verlieren.

      Tschö, Auge

      --
      Wo wir Mängel selbst aufdecken, kann sich kein Gegner einnisten.
      Wolfgang Schneidewind *prust*

      1. Es gibt immer jemanden, der einen Anhang trotz aller Warnungen öffnet. Manchmal auch mehrmals(!) *grml*. Die Emails mit der Malware sind, das muss man allerdings dazu sagen, teilweise recht glaubwürdig gestaltet. Glaubwürdige Absender, glaubwürdiges Anliegen … es ist nicht einfach, jeden Angriff als solchen zu erkennen. ↩︎

      1. Moin,

        meines Wissens nach

        schreibst du das in der Überzeugung, es sei richtig, oder nur so "aus dem Bauch heraus"?

        Denn diese Formulierung liest man des öfteren, sie ist aber falsch. Entweder meines Wissens, also Genitiv ohne Präposition, das wäre die konventionelle, korrekte Fassung. Oder meinem Wissen nach, also Dativ mit Präposition, das wäre auch richtig, aber nicht üblich.

        Das waren nur am Rande die zwei, drei Korinthen, die ich zufällig übrig hatte. ;-)

        Aus leidiger Erfahrung [^1] kann ich zu Zepto aber folgendes sagen. Die Malware verschlüsselt die Daten auf dem Rechner, auf dem sie aufgerufen wurde und auf Netzlaufwerken, auf die der Benutzer in Anwesenheit der Malware zugreift.

        Interessant. Nicht die Erreichbarkeit, sondern der tatsächliche Zugriff ist maßgeblich? Das heißt, Zepto muss sich als Filter in irgendwelche zentralen Dateisystemfunktionen einklinken. Man sollte meinen, dass dazu Admin-Rechte nötig wären ...

        Es gibt immer jemanden, der einen Anhang trotz aller Warnungen öffnet. Manchmal auch mehrmals(!)

        Ja, die Arglosigkeit mancher Nutzer ist erschreckend.

        Die Emails mit der Malware sind, das muss man allerdings dazu sagen, teilweise recht glaubwürdig gestaltet. Glaubwürdige Absender, glaubwürdiges Anliegen … es ist nicht einfach, jeden Angriff als solchen zu erkennen.

        Das gilt für viele Spam- und Phishing-Mails. Die werden mit der Zeit "besser". Trotzdem bin ich immer sofort in Alarmstellung, wenn ich e-Mails von Unternehmen (z.B. Banken) bekomme, mit denen ich noch nie zu tun hatte - oder zumindest nicht per Mail. Aber ich kenne das Problem - mein Vater ist auch so einer, der ohne viel Nachdenken alles anklickt, was nicht bei drei auf den Bäumen ist. Inzwischen ist er genervt, weil er täglich mehrere Spam-Mails mit dem Absender Stephan bekommt, die ihm irgendwelche F***-Dates vermitteln wollen. Woher das Zeug wirklich stammt, ist nicht festzustellen; verschickt werden diese Nachrichten jedenfalls irgendwo aus Fernost.
        Klar, inzwischen haben wir eine Filterregel dafür (oder dagegen) in T-Bird eingerichtet, aber damit bekämpft man natürlich nur das Symptom. Und zwar ganz am Ende der Wirkungskette. :-(

        So long,
         Martin

        --
        Nothing travels faster than the speed of light with the possible exception of bad news, which obeys its own special laws.
        - Douglas Adams, The Hitchhiker's Guide To The Galaxy
      2. Und dennoch lassen sich die verschlüsselten Dateien bei einigen der Erpressungstrojaner wieder entschlüsseln, ohne das Schutzgeld zu zahlen, weil die Programmierer Fehler gemacht haben.

        z.B. bei diesem:

        http://www.heise.de/security/meldung/Erpressungs-Trojaner-fuer-Linux-stuempert-noch-2915224.html

        Wenn ja, wie könnte ich meine Netzwerkkonstellation dahingehend verbessern, dass das Backup vor Locky bzw. Zepto sicher ist?

        Neben dem schon Gesagten gilt, dass Backups nicht von den eventuell infizierten Arbeitsrechnern aus gestartet werden dürfen, weil so – auch für die Erpressungssoftware – schreibender Zugriff auf das/die Backuplaufwerk(e) bestünde. Nicht nur, dass ein Backup der verschlüsselten Dateien erfolgte, auch für schon vorhandene Backups bestünde so die Gefahr der Verschlüsselung. Das Backup muss also von einem nicht infizierten Rechner aus erfolgen. Auf den Arbeitsrechnern besteht so nur lesender Zugriff und die Arbeitsrechner selbst, die wohl am ehesten der Infektionsgefahr ausgesetzt sind, sind dabei nur passives Element ohne Zugriff auf irgendwas.

        Momentan sind die Nutzdaten auf dem NAS. Von dort werden sie, ausgehend vom Arbeitsrechner mit Hilfe von BiT (inkrementell) auf ein anderes Laufwerk, welches ebenfalls fest in den Arbeitsrechnern gemounted ist, gesichert.

        Mir fallen zwei pratische Lösungen ein:

        Lösung 1:

        Ich möchte das nun dahingehend ändern, dass die Sicherung zukünftig nichtmehr ausgehend von den Arbeitsrechnern sondern stattdessen ausgehend von einem weiteren alten Rechner angestoßen wird. Die Arbeitsrechner hätten dann keine Netzlaufwerkverbindung mehr zum Sicherungsverzeichnis sondern nur noch zum NAS. Der alte Rechner hätte sowohl Zugriff auf den NAS als auch auf die Sicherungsplatte. An die Sicherungsplatte kämen die Trojaner aber nicht ran, weil die Arbeitsrechner ja keinen Zugriff mehr auf die Sicherungsplatte haben. Die Trojaner könnten die Daten auf dem NAS zerstören aber nicht auf der Sicherungsplatte. Ich würde die Daten von der NAS nicht einfach von NAS zur Sicherungsplatte spiegeln (wenn ich das tun würde würden die guten Daten ja durch die zerstörten ersetzt) sondern ein zweites BiT von NAS nach Sicherungsplatte auf dem alten Rechner ausführen. Weil die Daten inkrementell auf der Sicherungsplatte vorliegen und im 15 Minuten Takt aktualisiert werden würde ich höchstens Daten von 15 Minuten verlieren. Funktioniert das so in der Praxis?

        Lösung 2:

        Dann noch eine andere Idee. Angenommen ich stecke eine USB Festplatte an das NAS auf welche ich z.B. einmal täglich aufgehend von der NAS spiegle. Ich behalte immer ein Backup im Wochenrythmus. Wenn ich nun infiziert werde dann gehen mir maximal die Daten von einer Woche verloren. Klappt das so?

        1. Hallo,

          Ich möchte das nun dahingehend ändern, dass die Sicherung zukünftig nichtmehr ausgehend von den Arbeitsrechnern sondern stattdessen ausgehend von einem weiteren alten Rechner angestoßen wird. Die Arbeitsrechner hätten dann keine Netzlaufwerkverbindung mehr zum Sicherungsverzeichnis sondern nur noch zum NAS. Der alte Rechner hätte sowohl Zugriff auf den NAS als auch auf die Sicherungsplatte.

          hört sich nach einem guten Konzept an.

          An die Sicherungsplatte kämen die Trojaner aber nicht ran, weil die Arbeitsrechner ja keinen Zugriff mehr auf die Sicherungsplatte haben. Die Trojaner könnten die Daten auf dem NAS zerstören aber nicht auf der Sicherungsplatte. Ich würde die Daten von der NAS nicht einfach von NAS zur Sicherungsplatte spiegeln (wenn ich das tun würde würden die guten Daten ja durch die zerstörten ersetzt) sondern ein zweites BiT von NAS nach Sicherungsplatte auf dem alten Rechner ausführen. Weil die Daten inkrementell auf der Sicherungsplatte vorliegen und im 15 Minuten Takt aktualisiert werden würde ich höchstens Daten von 15 Minuten verlieren. Funktioniert das so in der Praxis?

          Wahrscheinlich schon, aber ich weiß nicht, wie BiT reagiert, wenn der Backup-Speicherplatz knapp wird. Werden dann die ältesten Backup-Daten gelöscht? Das wäre fatal, denn dann könntest du eben doch Daten verlieren, ohne es zunächst zu merken.

          Ach ja, und falls "der alte Rechner", der die Backups durchführen soll, nicht ohnehin vorhanden ist, würde sich da eine Kleinlösung wie etwa ein Raspberry Pi anbieten. Damit kommst du einschließlich der Backup-Platte mit rund 20W Strombedarf aus. Aber die Idee wurde ja schon angesprochen.

          Dann noch eine andere Idee. Angenommen ich stecke eine USB Festplatte an das NAS auf welche ich z.B. einmal täglich aufgehend von der NAS spiegle. Ich behalte immer ein Backup im Wochenrythmus. Wenn ich nun infiziert werde dann gehen mir maximal die Daten von einer Woche verloren. Klappt das so?

          Wahrscheinlich auch, aber da hast du wieder den manuellen Eingriff: Du musst die Backup-Platte täglich anschließen, einschalten und wieder abschalten, wenn das Backup durch ist. Oh, und du würdest nicht maximal eine Woche verlieren, sondern das, was älter als eine Woche ist. Das ist kein Problem, wenn man nur an diese Erpressungstrojaner denkt, denn da wird man den Befall sehr schnell bemerken. Sollte aber aus einem anderen Grund das Backup nötig werden, z.B. weil ein Mitarbeiter eine Datei vermisst, die er versehentlich vor zahn Tagen gelöscht hat, dann ist sie endgültig weg.

          So long,
           Martin

          --
          Nothing travels faster than the speed of light with the possible exception of bad news, which obeys its own special laws.
          - Douglas Adams, The Hitchhiker's Guide To The Galaxy
          1. Werden dann die ältesten Backup-Daten gelöscht?

            Kann ich nach Belieben konfigurieren über die GUI. Das Tool ist genial!

            Wahrscheinlich auch, aber da hast du wieder den manuellen Eingriff: Du musst die Backup-Platte täglich anschließen, einschalten und wieder abschalten, wenn das Backup durch ist.

            Ich kann die Backup-Platte doch auch permanent eingesteckt und angeschaltet lassen. Die Backup-Platte ist ja von den Arbeitsplatzrechnern nicht erreichbar, sprich hier haben die Trojander keinen Zugriff. Aus welchem Grund sollte es notwendig sein die Backup-Platte täglich abzuschalten bzw. aus dem Netez zu holen?

            1. Hi,

              Wahrscheinlich auch, aber da hast du wieder den manuellen Eingriff: Du musst die Backup-Platte täglich anschließen, einschalten und wieder abschalten, wenn das Backup durch ist.

              Ich kann die Backup-Platte doch auch permanent eingesteckt und angeschaltet lassen.

              ach so, ich bin davon ausgegangen, dass du um der Sicherheit und Redundanz willen mehrere Backup-Platten mit täglicher Rotation verwenden wolltest.

              Die Backup-Platte ist ja von den Arbeitsplatzrechnern nicht erreichbar, sprich hier haben die Trojander keinen Zugriff. Aus welchem Grund sollte es notwendig sein die Backup-Platte täglich abzuschalten bzw. aus dem Netez zu holen?

              Schon wahr, aber wenn das Backup täglich auf dasselbe Medium gemacht wird, ist die Gefahr sehr viel größer, dass durch irgendeinen dusseligen Zufall dieses eine Medium kaputtgeht (Hardware oder auch nur Dateisystem) und dann alle Backups der letzten Periode futsch sind.

              Gut, das Risiko besteht natürlich beim Konzept mit separatem Rechner und BiT auch. Aber da bin ich zuversichtlich, dass man BiT so konfigurieren kann, dass man sofort informiert wird, sobald ein Problem beim Erstellen des Backups auftritt. Was die im NAS integrierte Backup-Lösung wirklich kann, weiß ich aber nicht. Ich vermute nur, dass die wesentlich einfacher gestrickt ist.

              So long,
               Martin

              --
              Nothing travels faster than the speed of light with the possible exception of bad news, which obeys its own special laws.
              - Douglas Adams, The Hitchhiker's Guide To The Galaxy
              1. Was die im NAS integrierte Backup-Lösung wirklich kann, weiß ich aber nicht. Ich vermute nur, dass die wesentlich einfacher gestrickt ist.

                Habe mir die im NAS integrierte Backup-Lösung gerade angeschaut. Ich möchte es nun wie folgt realisieren:

                • neue Freigabe "Backups" auf der NAS erstellen.
                • Die Freigabe "Backups" wird nicht in den Arbeitsplatzrechnern eingebunden (für die Trojander deshalb unerreichbar)
                • Konfiguration des NAS eigenen Backups so, das die Freigaben die in den Arbeitsplatzrechnern eingebunden sind täglich auf die Freigabe Backups gesichert werden und zwar per Rotation damit ich nicht zuviel Speicherplatz verbrate. Die NAS überschreibt damit die Daten sobald die Rotationsanzahl überschritten wurde. Stelle ich beispielsweise 3 bei Rotation ein, so werden alle zu sichernden Freigaben Montags, Dienstags und Mittwochs in einer eigenen Datei nach Backups gesichert. Donnertags wird dann die Sicherung von Montag durch die von Donnerstag überschrieben. Sollte ich mich mit einem Trojaner infizieren so merke ich das ja recht schnell. Nach dem Entfernen des Trojaners kann ich auf die Backups der letzten drei Tag auf dem NAS in Verzeichnis Backups zugreifen und diese zurückspielen.

                Nachteil wäre hier, dass ich keine beliebigen Zustände mehr herstellen könnte bezogen auf verschiedene Zeitpunkte. Aus diesem Grund sollte ich als Sicherungsquelle wohl besser nicht die Freigaben auf dem NAS wählen sondern stattdessen als Sicherungsquelle die BiT-Sicherung. Dann sollte die Lösung perfekt sein. Sicher und voll automatisiert.

                Was hälst du von dieser Lösung?

  2. Wenn ja, wie könnte ich meine Netzwerkkonstellation dahingehend verbessern, dass das Backup vor Locky bzw. Zepto sicher ist?

    Wenn das das Ziel ist:

    Variante 1:

    Daten vom NAS aus auf ein Netzgerät sichern, welches Windows nicht kennen oder noch besser: nicht kennen kann. Also ein Linux, welches sich die Dateien mit rsync vom NAS zieht (der NAS muss das natürlich auch können...) und dann speichert. Keinerlei von Windows nutzbare Freigaben von diesem "Sicherungsrechner" aus. iptables -A INPUT -s $IP -j DROP und/oder iptables -A OUTPUT -s $IP -j DROP; hilft Windows-Kisten vom Zugriff auf den Backup-Rechner auszuschließen.

    Irgendeines der zigarettenschachtelgroßen, 40-100€-Dinger (Rapberry/Banana/Orange-Pi) sollte in einem Privathaushalt/Kleinunternehmen dafür reichen. Also wenn die neuen oder geänderten Daten eines Tages binnen einer oder zwei Stunden per USB2 geschrieben werden können. USB2 erreicht bei vielen dieser Dinger netto 30MB/s - also immerhin rund 100 GB/Stunde. Alles weitere hängt vom Netz und dem Backup-Programm ab, welches im Falle eines incrementellen Backups mit diff ggf. Inhalts- (und nicht nur Meta-)Daten von der Platte lesen, vergleichen und schreiben muss...

    Variante 2:

    Die guten alten preisgünstigen 4TB Platten via USB, ein paar Skripte, Cronjobs in der Nacht und der regelmäßige Wechsel der Platten (Abziehen, ins Regal stellen) hilft auch in Privathaushalten und KMUs. Die Backups oder Kopien der Backups außerhalb des eigenen Haushalts oder der eigenen Firma zu deponieren hilft auch bei einem Großbrand.

    Beste Variante:

    Man kombiniere Variante 1 und 2.

    1. Hej Querdenker,

      Wenn ja, wie könnte ich meine Netzwerkkonstellation dahingehend verbessern, dass das Backup vor Locky bzw. Zepto sicher ist?

      Wenn das das Ziel ist:

      Variante 1:

      Daten vom NAS aus auf ein Netzgerät sichern, welches Windows nicht kennen oder noch besser: nicht kennen kann. Also ein Linux, welches sich die Dateien mit rsync vom NAS zieht (der NAS muss das natürlich auch können...) und dann speichert. Keinerlei von Windows nutzbare Freigaben von diesem "Sicherungsrechner" aus. iptables -A INPUT -s $IP -j DROP und/oder iptables -A OUTPUT -s $IP -j DROP; hilft Windows-Kisten vom Zugriff auf den Backup-Rechner auszuschließen.

      Das bedeutet keine inkrementellen backups?

      Was macht das Skript denn, wenn die Dateien verschlüsselt (also verändert) wurden? Alles vorhandene mit den verschlüsselten Dateien überschreiben?

      Variante 2:

      Die guten alten preisgünstigen 4TB Platten via USB, ein paar Skripte, Cronjobs in der Nacht und der regelmäßige Wechsel der Platten (Abziehen, ins Regal stellen) hilft auch in Privathaushalten und KMUs. Die Backups oder Kopien der Backups außerhalb des eigenen Haushalts oder der eigenen Firma zu deponieren hilft auch bei einem Großbrand.

      Es sei denn, man hat einen Unfall. Nicht umsonst wird davor gewarnt, Festplatten abzuziehen und ins Regal zu stellen. Wenn eine runter fällt, war es das dann eventuell schon mit dem schönen Backup...

      Meine Variante: die Daten werden von einem Skript auf einen Server in der Cloud bei einem deutschen Dienstleister gezogen. Es gibt keine direkte (Netzwerk)-Verbindung. Ein lokaler Client überwacht das Dateisystem und sendet nur Änderungen, nachdem er sich beim Server authentifiziert hat. Backups für drei Tage, eine Woche, einen Monat, ein Viertel Jahr werden aufbewahrt.

      Marc

      1. Das bedeutet keine inkrementellen backups?

        • Jedenfalls nicht durch Programme, die unter Windows laufen. Die könnten sonst auch ungewollt die Dateien verschlüsseln.
        • Bei ohnehin (z.B. via ecryptfs) verschlüsselt gespeicherten Dateien bedeutet "incrementelles Backup" sowieso "volles Backup" - weil bei Änderung eines einzigen Bits 100% der Datei geändert werden. Es sei denn natürlich man gibt die eigene Verschlüsselung auf...

        Wenn eine runter fällt, war es das dann eventuell schon mit dem schönen Backup...

        Tja. Kommt irgendwie auf das Regal und die Sorgfalt an. Da man aber eh ein gerade gemachtes Backup ins Regal stellt ist es ja da selbe wie das auf der fest verbauten Platte. Man besorge eine Platte und mache ein Backup vom Backup auf der internen Backup-Platte, die eh gerade nichts besseres vor hat...

    2. Irgendeines der zigarettenschachtelgroßen, 40-100€-Dinger (Rapberry/Banana/Orange-Pi) sollte in einem Privathaushalt/Kleinunternehmen dafür reichen.

      Ich weiß nicht genau was du mit "Dinger" meinst. Meinst du hiermit USB-Festplatten?

      1. Irgendeines der zigarettenschachtelgroßen, 40-100€-Dinger (Rapberry/Banana/Orange-Pi) sollte in einem Privathaushalt/Kleinunternehmen dafür reichen.

        Ich weiß nicht genau was du mit "Dinger" meinst. Meinst du hiermit USB-Festplatten?

        nein. (Bezugsquelle nur als Beispiel)

        So long,
         Martin

        --
        Nothing travels faster than the speed of light with the possible exception of bad news, which obeys its own special laws.
        - Douglas Adams, The Hitchhiker's Guide To The Galaxy
        1. Hi,

          nein. (Bezugsquelle nur als Beispiel)

          ich liebe den Raspi, aber eben nur zum Frickeln, in einer Wirkumgebung würde ich ihn nicht einsetzen. Da habe ich schlechte Erfahrung mit der Stabilität der SD Karte gemacht. Deshalb setze ich auf Intel NUC mit Ubuntu Server, ist zwar ein bischen teurer, bietet aber mehr Möglichkeiten. (Bezugsquelle auch nur als Beispiel)

          Fred

          --
          " " (Douglas Fairbanks Senior)
          1. Hallo,

            nein. (Bezugsquelle nur als Beispiel)

            ich liebe den Raspi, aber eben nur zum Frickeln, in einer Wirkumgebung würde ich ihn nicht einsetzen. Da habe ich schlechte Erfahrung mit der Stabilität der SD Karte gemacht.

            was für Erfahrungen genau? - Mir ist nämlich tatsächlich vor einigen Wochen ein Pi2 (Modell B) abgeschmiert, der bis dahin über ein Jahr 24/7 als NAS mit 3 USB-Platten seine Dienste geleistet hat. Eines Tages ist er mitten beim Kopieren "stehengeblieben", ließ sich auch nicht mehr neustarten.

            Eine genauere Analyse ergab, dass die SD-Karte "irgendwie" gelöscht war, zumindest die ersten paar MB enthielten nur noch Nullbytes.

            Meinst du Effekte in der Art? Ich hatte das für einen zufälligen Einzelfall gehalten.

            Deshalb setze ich auf Intel NUC mit Ubuntu Server, ist zwar ein bischen teurer, bietet aber mehr Möglichkeiten. (Bezugsquelle auch nur als Beispiel)

            Das ist ja auch wieder ein ganz anderes Kaliber - vor allem auch im Energiebedarf. Ein Raspi2 liegt bei unter 5W Eigenbedarf, dazu kommt die angeschlossene Peripherie, also z.B. eine USB-Platte, die nochmal mit etwa 10..12W zu Buche schlägt. Die Intel-Kiste hat ein 65W-Netzteil, wobei nicht angegeben ist, wie hoch der tatsächliche Stromverbrauch etwa liegt.

            So long,
             Martin

            --
            Nothing travels faster than the speed of light with the possible exception of bad news, which obeys its own special laws.
            - Douglas Adams, The Hitchhiker's Guide To The Galaxy
            1. Hi,

              was für Erfahrungen genau?
              Eine genauere Analyse ergab, dass die SD-Karte "irgendwie" gelöscht war, zumindest die ersten paar MB enthielten nur noch Nullbytes.

              Wir hatten einen Stromausfall, nicht lange, aber lange genug um z.B. alle Uhren zurückzusetzen. Und den Raspi auf die Nase fallen zu lassen. Er wollte nicht wieder starten. Ersatzkarte rein, Strom drauf, alles okay. Dann hab ich mir die vermeidlich defekte Karte auf meinem Linux PC angesehen. Ein df -h zeigt, dass die boot und Daten Partition vorhanden waren. Mit "sudo dd if=/dev/sdb of=sdb-BackUp.mbr bs=512 count=1" habe ich den MBR gesichert und mit "file sdb-BackUp.mbr" angesehen. Soweit alles gut. Dann den MBR mit "sudo dd if=sdb-BackUp.mbr of=/dev/sdb bs=512 count=1" zurückgeschrieben und die Karte wieder in den Raspi gesteckt. Dieser ließ sich dann problemlos booten.

              Reboots mag meiner auch nicht, er fährt nicht wieder hoch. Da muß ich jedes mal die SD rausnehmen, Kontakte reinigen, einstecken und ein bischen hin und her ruckeln, dann gehts wieder.

              Die Intel-Kiste hat ein 65W-Netzteil, wobei nicht angegeben ist, wie hoch der tatsächliche Stromverbrauch etwa liegt.

              Der war nicht so hoch, ich meine er liegt so um die 10 Watt, eingebaut ist eine SSD und die externe Platte geht nach 15 min. in den Standby.

              Fred

              --
              " " (Douglas Fairbanks Senior)
              1. Hallo,

                Reboots mag meiner auch nicht, er fährt nicht wieder hoch. Da muß ich jedes mal die SD rausnehmen, Kontakte reinigen, einstecken und ein bischen hin und her ruckeln, dann gehts wieder.

                das hatte ich noch nicht. Wohl aber reproduzierbar das Problem, dass meine Raspis nicht auf die Füße kommen, solange ein USB-Datenträger angeschlossen ist. Dann läuft, wenn ich diagnosehalber mal einen Bildschirm anschließe, etwa im 5s-Takt endlos eine Fehlermeldung durch - hab aber vergessen, wie sie lautet. Wenn ich dann die USB-Platten ausschalte (oder das Master-Kabel vom Hub abziehe), bootet der Raspi normal.

                Die Intel-Kiste hat ein 65W-Netzteil, wobei nicht angegeben ist, wie hoch der tatsächliche Stromverbrauch etwa liegt.

                Der war nicht so hoch, ich meine er liegt so um die 10 Watt, eingebaut ist eine SSD und die externe Platte geht nach 15 min. in den Standby.

                Das wäre in der Tat ein sehr guter Wert. Der in den Rezensionen erwähnte Lüfter würde mich aber wohl auch stören.

                So long,
                 Martin

                --
                Nothing travels faster than the speed of light with the possible exception of bad news, which obeys its own special laws.
                - Douglas Adams, The Hitchhiker's Guide To The Galaxy
                1. Hi,

                  Der in den Rezensionen erwähnte Lüfter würde mich aber wohl auch stören.

                  Da habe ich im BIOS die Defaultdrehzahl niedriger eingestellt, nun ist er ein bischen leiser, die Temperatur ca. 8 Grad höher (35°).

                  Fred

                  --
                  " " (Douglas Fairbanks Senior)
        2. Ich weiß nicht genau was du mit "Dinger" meinst. Meinst du hiermit USB-Festplatten?

          nein. (Bezugsquelle nur als Beispiel)

          Das ist ja dann quasi ein voll funktionsfähriger Mini-PC der richtig günstig ist oder?

          1. Hi,

            Ich weiß nicht genau was du mit "Dinger" meinst. Meinst du hiermit USB-Festplatten?

            nein. (Bezugsquelle nur als Beispiel)

            Das ist ja dann quasi ein voll funktionsfähriger Mini-PC der richtig günstig ist oder?

            genau das. Low-cost, low-power. Natürlich nicht Intel-kompatibel, d.h. man kann nicht einfach jedes beliebige OS von der Stange verwenden. Raspbian ist eine speziell auf den Pi zugeswchnittene Variante von Debian; angeblich gibt es sogar eine Windows-10-Edition für den Pi.

            Bei den Hardware-Eckdaten darf man natürlich keine Wunder erwarten; "nur" ein 100MB-Ethernet, "nur" USB 2.0, "nur" 512MB RAM (Raspi 3 inzwischen 1GB). Dafür aber einige Schnittstellen, die das Herz eines Bastlers und Elektronikers höher schlagen lassen: Zahlreiche frei programmierbare digitale I/O-Pins, SPI, I²C. Nur analoge Ein- oder Ausgänge hat er nicht. Schade ...

            So long,
             Martin

            --
            Nothing travels faster than the speed of light with the possible exception of bad news, which obeys its own special laws.
            - Douglas Adams, The Hitchhiker's Guide To The Galaxy
            1. genau das. Low-cost, low-power. Natürlich nicht Intel-kompatibel, d.h. man kann nicht einfach jedes beliebige OS von der Stange verwenden. Raspbian ist eine speziell auf den Pi zugeswchnittene Variante von Debian; angeblich gibt es sogar eine Windows-10-Edition für den Pi.

              Das ist cool, so ein Teil wäre interessant :-).

              Sind die Teile dazu in der Lage Mediadateien abzuspielen?

              Du schreibt du nutzt so ein Teil als NAS. Denkst du das ist eine bessere Lösung als sich eine fertige eigens dafür geschaffene NAS mit integrierten RAID zuzulegen (so wie ich das getan habe).

              1. Hi,

                genau das. Low-cost, low-power. Natürlich nicht Intel-kompatibel, d.h. man kann nicht einfach jedes beliebige OS von der Stange verwenden. Raspbian ist eine speziell auf den Pi zugeswchnittene Variante von Debian; angeblich gibt es sogar eine Windows-10-Edition für den Pi.

                Das ist cool, so ein Teil wäre interessant :-).

                ist es auch, vor allem für Verwendungsmöglichkeiten abseits der alltäglichen Schiene.

                Beispiel: Vor einiger Zeit interessierte es mich mal, wie ruhig oder unruhig ich eigentlich schlafe, wie oft ich nachts die Position ändere. Was lag näher, als einen Raspi zu nehmen, eine billige USB-Webcam mit Infrarot-LEDs anzuschließen und das Ganze an einem USB-Steckernetzteil im Schlafzimmer zu plazieren? Dann noch ein cronjob, der alle 5min ein Standbild von der Kamera abruft und speichert. Einen ausgewachsenen PC dafür ins Schlafzimmer zu stellen, wäre mir die Sache echt nicht wert gewesen, aber so'n handliches Ding ...
                Das habe ich dann einige Male die Nacht durchlaufen lassen, und seither weiß ich, dass ich mich zwar in der Anfangszeit nach dem Zubettgehen noch oft hin- und herdrehe, später in der Nacht aber gut und gern eine Stunde oder länger in derselben Position liege.

                Nicht dass man das unbedingt wissen muss, aber ab un d zu hat man ja die tollsten Schnapsideen.

                Sind die Teile dazu in der Lage Mediadateien abzuspielen?

                Ja. Für MPEG4-AVC hat der Grafikchip einen Hardware-Decoder, echte MPEG4-Videos kann man daher sogar in Full-HD ruckelfrei abspielen. Das gleiche gilt angeblich für MPEG2, dafür muss man aber erst eine kostenpflichtige Lizenz erwerben (hab ich nie gemacht).
                Was gar nicht gut geht, ist MPEG4-ASP. Das muss rein softwaremäßig decodiert werden, und damit ist die CPU zumindest beim Raspi2 ohne Übertaktung wohl leicht überfordert. Selbst Standard-TV-Auflösung läuft da nur sehr holprig.

                Du schreibt du nutzt so ein Teil als NAS.

                Falsche Zeitform: Nutzte. Seit mir das Ding vor ein paar Wochen abgeschmiert ist, habe ich das System noch nicht wiederbelebt; die drei Platten hängen momentan am PC und werden bedarfsweise mal eingeschaltet.

                Denkst du das ist eine bessere Lösung als sich eine fertige eigens dafür geschaffene NAS mit integrierten RAID zuzulegen (so wie ich das getan habe).

                Das kommt immer auf die Anforderungen an. Für mich war es die bessere Lösung, weil grenzenlos flexibel und nach Belieben konfigurierbar. Dass die Datenübertragung dank 100Mbit-NIC etwas träge ist (mehr als etwa 10..11MB/s sind einfach nicht drin), hat mich nicht so sehr gestört, weil ich das Ding vor allem als Archiv genutzt habe. Auch dass man alles selbst einrichten muss, was man bei einem Fertig-NAS schon "out of the box" hat, habe ich nicht als Nachteil empfunden, sondern als interessante Herausforderung. YMMV.

                So long,
                 Martin

                --
                Nothing travels faster than the speed of light with the possible exception of bad news, which obeys its own special laws.
                - Douglas Adams, The Hitchhiker's Guide To The Galaxy
                1. später in der Nacht aber gut und gern eine Stunde oder länger in derselben Position liege.

                  Heiliger Strohsack!

                  So nach und nach komme ich durch eine Vielzahl gleichlautender Berichte über derartige sportlich anmutenden, nächtliche Betätigungen zu der Überzeugung, dass ich mich mal untersuchen lassen muss. Womöglich halte ich ja ein regelmäßiges temporäres Koma völlig zu Unrecht für meinen "Nachtschlaf".

                2. Auch dass man alles selbst einrichten muss, was man bei einem Fertig-NAS schon "out of the box" hat, habe ich nicht als Nachteil empfunden, sondern als interessante Herausforderung. YMMV.

                  Auch den Lerneffekt sollte man nicht unterschlagen. Besonders den nicht, dass viele vorgefertigte Scheinlösungen einen ganz schön im Stich lassen wenn es ans "Eingemachte" jenseits von "0815" geht - und das nur weil die (semi-)grafische (Web-)Oberfläche und die dahinter stehenden Skripte nur einen Bruchteil der möglichen Optionen und Argumente implementieren.

                3. Beispiel: Vor einiger Zeit interessierte es mich mal, wie ruhig oder unruhig ich eigentlich schlafe, wie oft ich nachts die Position ändere. Was lag näher, als einen Raspi zu nehmen, eine billige USB-Webcam mit Infrarot-LEDs anzuschließen und das Ganze an einem USB-Steckernetzteil im Schlafzimmer zu plazieren? Dann noch ein cronjob, der alle 5min ein Standbild von der Kamera abruft und speichert. Einen ausgewachsenen PC dafür ins Schlafzimmer zu stellen, wäre mir die Sache echt nicht wert gewesen, aber so'n handliches Ding ...
                  Das habe ich dann einige Male die Nacht durchlaufen lassen, und seither weiß ich, dass ich mich zwar in der Anfangszeit nach dem Zubettgehen noch oft hin- und herdrehe, später in der Nacht aber gut und gern eine Stunde oder länger in derselben Position liege.

                  Interessantes Beispiel, das werde ich auch mal testen.

                  Hätte noch eine Alternative Lösungsmöglichkeit parat. Diesbezüglich würde mich Deine Meinung interessieren:

                  Angenommen ich kaufe mir eine Infrarot Lampe z.B. sowas:

                  Link zur Infratot Lampe

                  Mit der Lampe strahle ich das Bett an. Dann besorge ich mir eine Handy-App die mich im Schlaf aufzeichnet. Damit müsste ich doch das gleiche erreichen können, was zu mit dem Raspberry realisiert hast.

                  Was hälst du von meiner Lösung?

                  Überlege ob ich es so wie du oder über die Alternative Lösung realisiere.

                  1. Hallo

                    Vor einiger Zeit interessierte es mich mal, wie ruhig oder unruhig ich eigentlich schlafe …

                    Interessantes Beispiel, das werde ich auch mal testen.

                    Angenommen ich kaufe mir eine Infrarot Lampe z.B. sowas:

                    Link zur Infratot Lampe

                    Mit der Lampe strahle ich das Bett an. Dann besorge ich mir eine Handy-App die mich im Schlaf aufzeichnet. Damit müsste ich doch das gleiche erreichen können, was zu mit dem Raspberry realisiert hast.

                    Wenn ich mal die (stellenweise schwierig zu lesende) Beschreibung des verlinkten Artikels zitieren darf:

                    „Beleuchtet wie eine Taschenlampe mit Nachtsichtgeräte in der Lage, aber Licht Taschenlampe emittiert unsichtbar ist mit bloßem Auge.“

                    Die Lampe leuchtet also im für das menschliche Auge unsichtbaren Infrarotbereich. Ob du diesen Frequenzbereich mit deiner Handykamera aufnehmen kannst, musst du probieren. Nicht jede Handykamera kann das. Ob der Sensor überhaupt soweit runter reicht, kannst du dir anschauen, wenn du die Sendelampe einer Fernbedienung vor die Kamera hältst und im Display der Kamera schaust, ob du beim drücken einer Taste die Sendelampe der Fernbedienung flackert.

                    Was hälst du von meiner Lösung?

                    Probiere es, frei nach dem Motto „Machen, nicht schnacken!“, einfach aus.

                    Tschö, Auge

                    --
                    Wo wir Mängel selbst aufdecken, kann sich kein Gegner einnisten.
                    Wolfgang Schneidewind *prust*
                    1. Nicht jede Handykamera kann das. Ob der Sensor überhaupt soweit runter reicht, kannst du dir anschauen, wenn du die Sendelampe einer Fernbedienung vor die Kamera hältst und im Display der Kamera schaust, ob du beim drücken einer Taste die Sendelampe der Fernbedienung flackert.

                      Genau das habe ich gestern gemacht, klappt tadellos. Mit der Handy-Kamera sehe ich die blinkende LED der Fernbedienung, wenn ich auf eine Taste der Fernbedienung drücke.

                      Probiere es, frei nach dem Motto „Machen, nicht schnacken!“, einfach aus.

                      Ich will es vorher klären, will nicht die Lampe (wenn es nicht klappt) zurückschicken müssen.

                      1. Hallo

                        Probiere es, frei nach dem Motto „Machen, nicht schnacken!“, einfach aus.

                        Ich will es vorher klären, will nicht die Lampe (wenn es nicht klappt) zurückschicken müssen.

                        Du hast eine grundsätzlich technisch geeignete Kamera. Ob es funktioniert, ist nur durch einen Test herauszufinden. Anders geht es nicht. Die Lampe kostet 16.99€, ein (laut Amazon häufig dazu genommenes) passendes Netzteil 9,53€; dazu kommen die Versandkosten. Experimente für anderweitige Einsatzzwecke lassen sich ausdenken. Das Risiko ist mMn also nicht allzu groß.

                        Tschö, Auge

                        PS: Da ich mich nun so weit aus dem Fenster gelehnt habe, muss ich mich wohl oder übel auch mal um mein Flipdotdisplay kümmern. ;-)

                        Flipdotdisplay, nicht montiert

                        --
                        Wo wir Mängel selbst aufdecken, kann sich kein Gegner einnisten.
                        Wolfgang Schneidewind *prust*
                  2. Hallo,

                    Beispiel: Vor einiger Zeit interessierte es mich mal, wie ruhig oder unruhig ich eigentlich schlafe, wie oft ich nachts die Position ändere. Was lag näher, als einen Raspi zu nehmen, eine billige USB-Webcam mit Infrarot-LEDs anzuschließen und das Ganze an einem USB-Steckernetzteil im Schlafzimmer zu plazieren? Dann noch ein cronjob, der alle 5min ein Standbild von der Kamera abruft und speichert. Einen ausgewachsenen PC dafür ins Schlafzimmer zu stellen, wäre mir die Sache echt nicht wert gewesen, aber so'n handliches Ding ...
                    Das habe ich dann einige Male die Nacht durchlaufen lassen, und seither weiß ich, dass ich mich zwar in der Anfangszeit nach dem Zubettgehen noch oft hin- und herdrehe, später in der Nacht aber gut und gern eine Stunde oder länger in derselben Position liege.

                    Interessantes Beispiel, das werde ich auch mal testen.

                    naja, das sind halt diese weltbewegenden Fragen aus dem Alltag. ;-)

                    Angenommen ich kaufe mir eine Infrarot Lampe z.B. sowas:

                    Link zur Infratot Lampe

                    Nice Typo: Infratot in der Linkbeschreibung. ;-)

                    Mit der Lampe strahle ich das Bett an. Dann besorge ich mir eine Handy-App die mich im Schlaf aufzeichnet. Damit müsste ich doch das gleiche erreichen können, was zu mit dem Raspberry realisiert hast.

                    Was hälst du von meiner Lösung?

                    Nachdem du ja inzwischen festgestellt hast, dass deine Handy-Kamera im Prinzip auch Infrarot noch "sieht", wäre das auch eine brauchbare Möglichkeit. Oder du wartest mit dem Experiment bis zum nächsten Sommer, dann hast du bis spät abends noch Dämmerlicht (je nachdem, wann du ins Bett gehst), und sehr früh morgens schon wieder brauchbares Licht.
                    Jedenfalls, wenn man es so macht wie ich: Ich lasse die Rollläden nur bei Eiseskälte nachts runter, bzw. bei knalliger Sommerhitze tagsüber. Das Licht stört mich beim Schlafen nicht - außer wenn mir früh morgens die Sonne direkt ins Gesicht strahlt.

                    Ciao,
                     Martin

                    --
                    Nothing travels faster than the speed of light with the possible exception of bad news, which obeys its own special laws.
                    - Douglas Adams, The Hitchhiker's Guide To The Galaxy