Ergebnis 1 bis 25 von 25

Thema: Brainstorming: Wie vor Ransomware schützen als 0815 Anwender?

  1. #1
    Cenosillicaphobiker

    Moderator

    Avatar von Fhynn
    Registriert seit
    Jul 2013
    Beiträge
    9.291
    ngb:news Artikel
    5

    Brainstorming: Wie vor Ransomware schützen als 0815 Anwender?

    Moin,

    ich will einfach mal Ideen hören, was ihr so als nützlich/umsetzbar empfindet, wenn ein Kunde/etc. auf Internet bzw. Mailverkehr angewiesen ist. Was hilft effektiv / beugt vor, was kann man den Anwendern zur Hand geben? Bewerbungsunterlagen werden nun mal gerne per Mail im Anhang verschickt und man kann leider brain.exe zwar sicherlich bei den meisten Usern dieses Forums erwarten, aber das lässt sich nun mal nicht auf alle übertragen

    Ich hatte bisher nie mit Ransomware zu tun, aber ein paar meiner Kollegen und wir überlegen jetzt, was wir wie machen können und ziemlich sicher gibt es hier ein paar Leute, die da einfach mehr Plan von haben bisherige Ideen waren u.A.

    -> Mails nur noch über einen PC laufen lassen (ggf. auch via VM, für einfaches Wiederherstellen), der nicht im gleichen Netz hängt, wie der Rest. Reicht hier ein anderer IP-Kreis? Beispiel: FRITZ!Box, die das Internet liefert mit Standard IP, dahinter ein LANCOM 1781EW, der als Hardware Firewall und VPN-Router agiert in einem anderen IP-Kreis, beide halt physikalisch miteinander verbunden. Würde man jetzt den Mail-PC an die FRITZ!Box klemmen, also im Grunde unabhängig von dem LANCOM und dem eigentlich genutzten Arbeitsnetzwerk - wäre aktuelle Ransomware in der Lage, diese virtuellen Brücken zu überspringen?
    -> Aktueller Virenschutz, ist klar. Hilft aber wohl weniger gegen Ransomware letztlich?
    -> Keine Adminrechte für User, ist eigentlich auch klar, aber Ransomware juckt das afaik nicht?

    Also, wie handhabt ihr das? Regelmäßige Backups etc. ist klar, aber es geht eher schon um die Vermeidung das ganze überhaupt ins rollen zu bringen. Anwenderschulungen? Bei der Fluktuation der Mitarbeiter und der absoluten EDV-Unbedarftheit sind wiederholende Schulungen alle 2 Wochen eher schwer zu verkaufen

    LG,

    Ich wurde so geboren, Ich werde so bleiben bis ich sterb,
    Ich wurde so geboren, Antifaschist für immer, für immer


  2. #2

    Re: Brainstorming: Wie vor Ransomware schützen als 0815 Anwender?

    Die simpelsten Möglichkeiten sind Portsperren, insbesondere ausgehend. Manche Ransomwares sind ohne Verbindung zu ihren Command & Control Servern funktionslos oder zumindest stark eingeschränkt funktionsfähig um sich vor eventuell vorhandenen Antivirenprogrammen zu tarnen bis sie Befehle bekommen. Whitelistening in der Windows-Firewall könnte hierzu eine gute Ergänzung sein. Eine Spur weiter gehen könnte man mit verhaltensbasierten Virenscanner wie Hitman Pro die ein eigenes Modul haben das auf verschlüsselnde Prozesse achtet. Was das Thema mit den Adminrechten betrifft: Ein verseuchtes Benutzerprofil eines Nicht-Admins kann man mit drei Klicks löschen und der PC ist wieder sauber. Wenn der User Adminrechte hatte kann man den Setupstick rausholen.

  3. #3
    Bot #0384479 Avatar von BurnerR
    Registriert seit
    Jul 2013
    Beiträge
    4.013
    ngb:news Artikel
    1

    Re: Brainstorming: Wie vor Ransomware schützen als 0815 Anwender?

    Ich hatte mal eine ähnliches Frage gestellt. Es ging um einen Sekretariatsrechner der abgesichert werden sollte.
    Das Ergebnis war das hier
    Maßnahmen:

    * Schulung
    * Keine Adminrechte
    * Programm Whitelisting Restric'tor ODER per Gruppenrichtlinie sämtliche ausführbaren Dateien in C:\Users\... verbieten
    * uBlock für Browser
    * Windows Autoupdates aktivieren
    * Browser auf Auto-Update stellen.
    * kein Adobe Reader verwenden stattdessen PDFXChange
    * TeamViewer nur QuickSupport.
    * Bitlocker passworteingabe bei Start
    * Office Makros deaktivieren
    * Outlook default kein html, keine externen Inhalte
    * Outlook externe Spamblacklist verwenden
    restric'tor hat sich letztendlich bewährt. Damit kann der normale user keinerlei neuen programme ausführen. Die Installation neuer gewünschter Programme ist dadurch natürlich erschwert, ist bei solchen Computern aber recht selten.

    Absolut langweilige und wenig überraschende Maßnahmen. Aber meines Erachtens nach hochgradig effektiv. Ports blockieren u.ä. ist meiner Meinung nach unnötig spezifisch und aufwendig und fehleranfällig.
    Für diesen Beitrag bedankt sich Fhynn

  4. #4
    Cloogshicer®

    Moderator

    Avatar von dexter
    Registriert seit
    Jul 2013
    Beiträge
    2.116

    Re: Brainstorming: Wie vor Ransomware schützen als 0815 Anwender?

    Zitat Zitat von BurnerR Beitrag anzeigen
    Die Installation neuer gewünschter Programme ist dadurch natürlich erschwert, ist bei solchen Computern aber recht selten.
    Ein Angestellter hat schlicht keine Programme zu installieren. Das ist die einzige Lösung des Problems.
    Für diesen Beitrag bedankt sich BurnerR
    Wer nachts schläft, muss sich nicht wundern, wenn er tagsüber arbeitet!

  5. #5
    Bot #0384479 Avatar von BurnerR
    Registriert seit
    Jul 2013
    Beiträge
    4.013
    ngb:news Artikel
    1

    Re: Brainstorming: Wie vor Ransomware schützen als 0815 Anwender?

    Ich hätte vllt noch spezifizieren sollen.
    "neues gewünschtes Programm" meint natürlich: "Mitarbeiter benötigt zum Arbeiten jetzt zusätzlich Programm X und es soll daher installiert werden"
    "erschwert" meint: "kann der Mitarbeiter nicht selber durchführen" und der vollständigkeit halber:
    "kommt selten vor" hieß bei mir: "in den letzten 1,5 Jahren kein einziges mal"

  6. #6
    Cenosillicaphobiker

    Moderator

    (Threadstarter)

    Avatar von Fhynn
    Registriert seit
    Jul 2013
    Beiträge
    9.291
    ngb:news Artikel
    5

    Re: Brainstorming: Wie vor Ransomware schützen als 0815 Anwender?

    @BurnerR:

    Die Auflistung finde ich schon mal super. Ein paar Sachen gehen so nicht / es lässt sich nicht ganz vermeiden bzw. doch, aber halt zu Lasten der Usability, aber meine Güte, dann muss man damit halt Leben.
    TeamViewer nur Quicksupport - kannst du mir das mal erläutern, was an dem QS besser ist bzw. was den sicherer macht in deinen Augen? Eine öffentliche ID und ein Random Kennwort haben ja sowohl die "richtige" TV-Version als auch das QS-Modul.

    Outlook wird eigentlich nicht genutzt. Normalerweise installieren wir Thunderbird, es gibt aber auch Kunden, die mit den Weboberflächen arbeiten (und Kennwörter im Browser speichern ... da redest du aber einfach gegen eine Wand). Auch das Office Paket selbst wird selten genutzt, es gibt verschiedene Office Pakete pre Abozeit, bevorzugt so Kram wie Office 2007 oder anderes - allerdings sind die Preise für legale Office-Versionen auch krass, weil es nicht wirklich Rabatte gibt, außer man hat sofort 250+ Clients.

    PDFXChange muss ich mir mal angucken. Autoupdate bei Browsern (Chrome derzeitig), uBlock sollte tatsächlich vorinstalliert sein. Bietet zwar nicht wirklich Schutz gegen Ransomware, aber vor anderem nervigen Scheiss.

    Via GPO lässt sich das ausführen von Dateien in c:\xxx verbieten? Da werde ich mal nachforschen. Windows Updates sind selbstredend auch an.

    Ein Angestellter hat schlicht keine Programme zu installieren. Das ist die einzige Lösung des Problems.
    Da stimme ich dir natürlich zu. Aber verhält es sich hier bei Ransomware nicht anders? Also das die eben auch als 0815 User ausgeführt wird?

    Ich wurde so geboren, Ich werde so bleiben bis ich sterb,
    Ich wurde so geboren, Antifaschist für immer, für immer


  7. #7
    Mitglied Avatar von saddy
    Registriert seit
    Jul 2013
    Ort
    Weinberge :)
    Beiträge
    1.234

    Re: Brainstorming: Wie vor Ransomware schützen als 0815 Anwender?

    Jup und die verschlüsselt dann alles, auf das der Nutzer Lese+Schreibrechte hat.
    Mit Glück nur lokal, mit Pech auch alles was im Netzwerk greifbar ist.

  8. #8
    Cenosillicaphobiker

    Moderator

    (Threadstarter)

    Avatar von Fhynn
    Registriert seit
    Jul 2013
    Beiträge
    9.291
    ngb:news Artikel
    5

    Re: Brainstorming: Wie vor Ransomware schützen als 0815 Anwender?

    @saddy:

    Die Netzwerkgeschichte ist hier eben das Problem. Ich weiß nicht wie ich es nett ausdrücken soll ... aber unsere Anwender sind in 95% Frauen, die restlichen 5% sind die Vorgesetzten der Damen, die dann eben männlich sind. Mailverkehr, Faxempfang etc. übernehmen aber in der Regel die "Mädels".

    Wenn wir einen vom Firmennetzwerk unabhängigen PC haben, den mit einem PDF-Drucker ausstatten, worauf die Mails gedruckt werden und ggf. die *.pdf / whatever Anhänge und die via Filezilla oder sonst was ins Firmennetzwerk schubsen... keine Ahnung. Es hilft halt nichts, wenn wir einen komplett entkoppelten PC haben, wo Mails ankommen und gelesen werden. Die müssen eben auch ins Firmennetz nach Begutachtung, weil sie da eben abgelegt werden müssen. Bewerbungsunterlagen etc. sowas speichert man halt. Zu lasten der Usability und auch aus Umweltgründen können wir eigentlich nicht verantworten, dass Mails + Anhänge ausgedruckt werden an dem Mail-PC und dann eingescannt werden im Produktivsystem um sie dann zu schreddern. Aber wenn wir eine Verbindung via FTP schaffen, ist das ja auch wieder ein Einfalltor. Wie schlau ist Ransomware?

    Lese-/Schreibrechte hat eigentlich jeder User im Firmennetzwerk auf Netzwerkfreigaben, wo das heiße Zeug liegt - geht eben nicht anders Wir hatten jetzt z.B. den Fall: Kunde schaltet eine Anzeige bei der ARGE und kriegt danach eine Mail mit Ransomware, die sich nicht direkt auf die Anzeige bezieht, aber eben im Allgemeinen auf "Durch Ihre Anzeige bei der ARGE"-blabla. Haben die Damen natürlich geöffnet und ausgeführt ... Klar kann man da schulen. Aber in so einem Szenario? Das war jetzt zugegeben echt ein richtig mieser Zufall, aber gibt es eben auch.

    LG;

    Ich wurde so geboren, Ich werde so bleiben bis ich sterb,
    Ich wurde so geboren, Antifaschist für immer, für immer


  9. #9
    Avatar von Jan_de_Marten
    Registriert seit
    Jul 2013
    Ort
    Tor des Nordens
    Beiträge
    1.049

    Re: Brainstorming: Wie vor Ransomware schützen als 0815 Anwender?

    Zitat Zitat von dexter Beitrag anzeigen
    Ein Angestellter hat schlicht keine Programme zu installieren. Das ist die einzige Lösung des Problems.
    Manche (spezielle) Programme brauchen mehr aber Rechte als der Admin ihnen als Hauptbenutzer zugesteht. Wir haben das in der Firma durch zusätzlichen (offline)Rechner und USB-Sticks gelöst.

  10. #10
    Mitglied Avatar von saddy
    Registriert seit
    Jul 2013
    Ort
    Weinberge :)
    Beiträge
    1.234

    Re: Brainstorming: Wie vor Ransomware schützen als 0815 Anwender?

    Hm wenn schon über nen extra PC nachgedacht wurde..
    Wie wärs mit ner VM in der es nur lesenden Zugriff auf die Netzwerkordner gibt, mit Ausnahme einer Freigabe in die ggf Mails als PDF reingelegt werden können die dann von einem User mit normalen Rechten weiter verschoben werden?

  11. #11
    Cenosillicaphobiker

    Moderator

    (Threadstarter)

    Avatar von Fhynn
    Registriert seit
    Jul 2013
    Beiträge
    9.291
    ngb:news Artikel
    5

    Re: Brainstorming: Wie vor Ransomware schützen als 0815 Anwender?

    @saddy:

    Extra-PC ist auch wieder mit Kosten verbunden, dazu hat natürlich nicht jeder Kunde unsere eigentlich bevorzugte Kombination aus VOIP-Router und VPN-Router dahinter im Einsatz. Du kriegst solchen Kunden einfach nicht verklickert wie wichtig sowas ist. Das sind dann eben auch die, wo die Datensicherung seit Monaten meldet das sie nicht richtig durchgelaufen ist, wo das dem Kunden aber egal ist, weil ein Upgrade der Datensicherungsmedien ja mit Kosten verbunden wäre.
    Ohne Witz, wir haben einen Kunden, da kommt täglich eine Mail rein, dass die Datensicherung nicht sauber gelaufen ist. Gesichert wird täglich auf RDX-Medien. Er hat 300GB Medien, sind halt jetzt nach kA wie vielen Jahren voll. Das wurde ihm mehr als ausführlich erklärt, es gab ein Angebot für neue inkl. Verschlüsselung etc., aber interessiert halt nicht. Dann gibt es eben keine Datensicherung.
    Und wir reden hier über Daten, die meldepflichtig sind, falls sie verloren gehen.

    Genau solche Kunden sind es, wo Ransomware im Grunde freies Spiel hat. Wenn der Virenschutz ausläuft (mittlerweile haben wir eine Lösung die keine händische Verlängerung benötigt, sondern von uns verwaltet wird, aber die wenigsten sind bereit Aufwand/Installation zu bezahlen), wird das einfach von den Mädels ignoriert. Wenn eine Meldung kommt, dass XYZ nicht mehr aktuell ist, wird das ignoriert/weggeklickt. Schulungen werden nicht bezahlt - aber man ist eben der zuständige EDV-Dienstleister. Was macht man bei solcher Unbelehrtheit? Ist es wirklich die Lösungen, einen Wisch aufzusetzen mit "xy vorgeschlagen, wurde abgelehnt, Kunde unterschreibt hier das er sich darüber im Klaren ist"?

    Also bisherige Konzept wäre halt ein PC, der unabhängig vom Kundennetz ist und dann via FTP durch den PDF-Drucker die Mail ins Kundenarchiv schubst. Aber keine Ahnung. Verbindung via FTP vom eigentlich entkoppelten Mail/Internet-PC ins Kundennetz erscheint mir auch wieder einfach eine Tür zu öffnen ... gerade weil FTP ja jetzt auch nicht so der Hammer ist Sicherheitstechnisch ^^

    Ich wurde so geboren, Ich werde so bleiben bis ich sterb,
    Ich wurde so geboren, Antifaschist für immer, für immer


  12. #12
    Mitglied Avatar von saddy
    Registriert seit
    Jul 2013
    Ort
    Weinberge :)
    Beiträge
    1.234

    Re: Brainstorming: Wie vor Ransomware schützen als 0815 Anwender?

    Ja wenn so dann lieber ftps oder sftp.
    Wobei gegen SMB finde ich auch nix spricht, solange der SMB User eben maximal Zugriff auf einen temporären Ordner hat und Lese-/Schreibrechte für alle anderen Freigaben untersagt bekommt.

    Ansonsten würd ich aber eher dazu tendieren, die Verantwortlichen beim Kunden noch mal über Risiken und mögliche Lösungen aufzuklären und das Ergebnis dann schriftlich fest zu halten.
    Dann muss der Kunde halt ggf mit Arbeitsausfall und Rechnung von euch fürs einspielen des Backups, wenn vorhanden, rechnen.

    Da bin ich gerade fast froh drum, fast nur noch Apple User zu betreuen (ja das gibts auch ransomware, aber viel seltener)

  13. #13
    Cloogshicer®

    Moderator

    Avatar von dexter
    Registriert seit
    Jul 2013
    Beiträge
    2.116

    Re: Brainstorming: Wie vor Ransomware schützen als 0815 Anwender?

    Zitat Zitat von Fhynn Beitrag anzeigen
    Da stimme ich dir natürlich zu. Aber verhält es sich hier bei Ransomware nicht anders? Also das die eben auch als 0815 User ausgeführt wird?
    Wenn der User keine (nicht genehmigten) Programme ausführen kann, dann kann der User keine (nicht genehmigten) Programme ausführen.
    Vielleicht überseh ich da was, aber ransomware=die Dame, die vorm PC sitzt=Programm ausführen.

    Natürlich könnte man das Problem auch anderweitig lösen. (Ich hab gar keine Ahnung, ob es sowas überhaupt gibt, aber es ist so naheliegend... Irgendein Solaris, Hurd oder was auch immer kann das bestimmt)
    Das Dateisystem erlaubt Schreibzugriff auf eine Ressource ausschliesslich als "nur lesen". Bzw. einmalig auf Dateien erstellen, NIE überschreiben/bearbeiten. Da kann sich Ransomware solang am Verschlüsseln versuchen, bis sie schwarz wird.

    Man erkläre mir meine(n) Denkfehler.
    Wer nachts schläft, muss sich nicht wundern, wenn er tagsüber arbeitet!

  14. #14
    Zeitreisender

    Administrator

    Avatar von drfuture
    Registriert seit
    Jul 2013
    Ort
    in der Zukunft
    Beiträge
    5.915
    ngb:news Artikel
    16

    Re: Brainstorming: Wie vor Ransomware schützen als 0815 Anwender?

    Das mit den genehmigten Programmen ist im Prinzip eine gute Idee (Applocker / Windows Drive Guard als Schlagwort).
    Aber in der Tat arbeiten die aller meisten Ransomware-Varianten die ich mir bisher angeschaut habe / die hier in die Firma geschickt wurden so das das nicht ganz so viel bringt.

    Viele laufen über Makros... Office selber genauso wie der Visual Basic Scripting Host ist im Zweifel meist ein erlaubtes Programm.
    Klar ist es nun einfach zu sagen "Makros sind scheiße - einfach deaktivieren".
    In der Realität werden aber Makros in Firmen nun mal sehr häufig verwendet und haben für mich auch eine Berechtigung. Man kann damit viele Probleme sehr schnell und effektiv lösen - ohne große Entwicklungskosten oder sonstigen Aufwand - auch lassen sich Makros zu 99% über Jahrzehnte sehr gut migrieren.


    Dazu kommt das solche Komponenten auch sehr häufig von dritt-Anbietern verwendet werden.
    z.B. die Praxen-Software die bei einem Patienten-Brief word mit vorausgefüllten Daten öffnet. Das muss man sich im Einzelfall immer ansehen.


    Auch können .bat Dateien verschickt werden - oder wenn sie im Anhang blockiert sind gibt es im Text der E-Mail, die inzwischen durchaus öfter in sehr gutem Deutsch geschrieben ist, einen Downloadlink für eine .bat Datei die ein vbs oder PowerShell-Script aufruft und darüber zur Laufzeit Daten nach läd (über OS-Funktionen und damit ohne weiteres über ssl und durch die Firewall durch) die dann z.B. die Verschlüsselung ausführt.


    Noch schöner ist eine Variante die ich auch erst vor kurzem kennengelernt habe - die Datei die im Anhang verschickt wird - wird in rechts zu links Text beschriftet - dadurch kann man z.B. Datei-Endungen recht gut verstecken ohne das das vermutlich auch Spezialisten erst mal blicken.


    Insgesamt versucht Ransomware immer so zu handeln wie der normale Benutzer es in seiner täglichen Arbeit auch tut... und das macht ihn so erfolgreich.


    Ich schulde euch noch immer eine Antwort auf die Frage zur IT-Sicherheit in dem anderen Thread zu Virenscanner usw... - leider habe ich aktuell viel viel viel zu wenig Zeit :/
    |_|D *`~{ Ich kenne deine Zukunft }~´* |_|D

  15. #15
    Bot #0384479 Avatar von BurnerR
    Registriert seit
    Jul 2013
    Beiträge
    4.013
    ngb:news Artikel
    1

    Re: Brainstorming: Wie vor Ransomware schützen als 0815 Anwender?

    TeamViewer nur Quicksupport - kannst du mir das mal erläutern, was an dem QS besser ist bzw. was den sicherer macht in deinen Augen?
    Um ganz ehrlich zu sein: Ich hatte letztendlich das normale Teamviewer genommen. Ich denke QS könnte besser sein, da punktueller. Datei wird ausgeführt on Demand, wieder beendet -> kein teamviewer das ggf. jetzt immer beim Booten gestartet wird.

    @drfuture:
    Wenn Makros benötigt werden ist das natürlich schlecht. Bei mir in der Liste ist das ja mit aufgeführt, da wurden (gott sei Dank) keine Makros eingesetzt.
    Was da in der Liste evtl. fehlt: Bei Outlook damals gab es afair ein eigenes Menü zum deaktivieren von Makros, kann das sein?
    Jdfs kann man doch bestimmt Makros whitelisten. Neue gewünschte Makros werden ebenso selten dazu kommen wie Programme. Außer natürlich es gibt viel MS-Office E-Mail Verkehr mit Dokumenten, die regelmäßig auch Makros enthalten (oh gott).

    Schulung ist ja auf jeden Fall auch ein wichtiger Punkt (unabhängig davon, wie vergeblich das womöglich letztendlich ist...).
    Hatte jetzt insgesamt 3 Menschen vor dem selben Rechner sitzen. Der letzten Person zuletzt musste ich mehrmals sagen wie man bei KeePass das Passwort richtig kopiert... da wurde immer der Eintrag doppelt angeklickt, (also editieren des eintrages) dann auf 'Passwort anzeigen' geklickt, dann rechtsklick, dann 'kopieren', dann auf ok und speichern. Was nicht nur umständlich ist, sondern dann auch mal dazu führte, dass das passwort in keepass geändert wurde...

  16. #16
    Cenosillicaphobiker

    Moderator

    (Threadstarter)

    Avatar von Fhynn
    Registriert seit
    Jul 2013
    Beiträge
    9.291
    ngb:news Artikel
    5

    Re: Brainstorming: Wie vor Ransomware schützen als 0815 Anwender?

    @BurnerR:

    Ah, dachte du hast da noch irgendwie anderes Hintergrundwissen. Wir haben ein QS Modul und installieren aber auch das "normale" (bisher V12, jetzt auch V14) - afaik wegen der Dateiübertragung, die das QS Modul so ja nicht mitbringt. Allerdings werden alle TV auf nicht mit Windows starten und auch auf nicht in den Tray minimieren gestellt. Hilft natürlich nur, wenn es von uns ausgelieferte HW ist.

    Word wird btw. gar nicht häufig genutzt. Das von drfuture genannte Beispiel - Übergabe von z.B. Patientendaten an Word für einen Arztbetrief, existiert zwar ungefähr gleich, läuft aber glaube ich ohne Macros ab.

    Problematisch für uns sehe ich noch die Geschichte mit keine Adminrechte. Ja, Software die Adminrechte braucht um ausgeführt werden zu können ist Scheisse, aber in einen Bereichen lässt sich das nicht vermeiden, weil es eben nur diese eine Option gibt Ich werde die GPO Geschichte mal weiterverfolgen. Da ich idR weiß, welche Software ausgeführt wird am Client, lässt sich da durchaus was basteln.

    Btw. ich bin bisher irgendwie immer davon ausgegangen, dass Ransomware oder auch andere Schadsoftware sich irgendwie anders ins System frisst, unabhängig des Status vom Benutzerkonto. Da lag ich wohl verkehrt?

    Ich wurde so geboren, Ich werde so bleiben bis ich sterb,
    Ich wurde so geboren, Antifaschist für immer, für immer


  17. #17
    Cloogshicer®

    Moderator

    Avatar von dexter
    Registriert seit
    Jul 2013
    Beiträge
    2.116

    Re: Brainstorming: Wie vor Ransomware schützen als 0815 Anwender?

    Zitat Zitat von Fhynn Beitrag anzeigen
    Btw. ich bin bisher irgendwie immer davon ausgegangen, dass Ransomware oder auch andere Schadsoftware sich irgendwie anders ins System frisst, unabhängig des Status vom Benutzerkonto. Da lag ich wohl verkehrt?
    Ja.
    Ransomware klaut oder verschlüsselt Daten, auf die Du als Benutzer Zugriff hast. Ransomware und generell Schadsoftware muss gar nicht ins "System", das wichtige sind die Daten. Und die liegen ziemlich weit offen.
    Wer nachts schläft, muss sich nicht wundern, wenn er tagsüber arbeitet!

  18. #18
    Cenosillicaphobiker

    Moderator

    (Threadstarter)

    Avatar von Fhynn
    Registriert seit
    Jul 2013
    Beiträge
    9.291
    ngb:news Artikel
    5

    Re: Brainstorming: Wie vor Ransomware schützen als 0815 Anwender?

    @dexter:

    Ja gut. Es gibt diverse Ordner mit Vollzugriff für Jeder, aber sollte ja nicht jucken, wenn keine Adminrechte vorhanden sind? ^^
    Für diesen Beitrag bedankt sich Mr. White

    Ich wurde so geboren, Ich werde so bleiben bis ich sterb,
    Ich wurde so geboren, Antifaschist für immer, für immer


  19. #19
    Cloogshicer®

    Moderator

    Avatar von dexter
    Registriert seit
    Jul 2013
    Beiträge
    2.116

    Re: Brainstorming: Wie vor Ransomware schützen als 0815 Anwender?

    Zitat Zitat von Fhynn Beitrag anzeigen
    @dexter:

    Ja gut. Es gibt diverse Ordner mit Vollzugriff für Jeder, aber sollte ja nicht jucken, wenn keine Adminrechte vorhanden sind? ^^
    Wozu Adminrechte, wenn ich sensible Daten löschen/verschlüsseln/verschicken kann?
    Für diesen Beitrag bedankt sich Jan_de_Marten
    Wer nachts schläft, muss sich nicht wundern, wenn er tagsüber arbeitet!

  20. #20
    runs on biochips Avatar von Shodan
    Registriert seit
    Jul 2013
    Ort
    Citadel Station
    Beiträge
    477

    Re: Brainstorming: Wie vor Ransomware schützen als 0815 Anwender?

    Zitat Zitat von Fhynn Beitrag anzeigen
    @dexter:

    Ja gut. Es gibt diverse Ordner mit Vollzugriff für Jeder, aber sollte ja nicht jucken, wenn keine Adminrechte vorhanden sind? ^^
    Alle Daten, die von einem User verändert werden können, können von diesem auch zerstört werden. Und ein "User" ist im technischen Sinne halt kein Mensch, das ist besonders deutlich, wenn unter diesem ein Programm mit seinen Rechten läuft, das der Mensch, dem der User zugeordnet ist, nie ausführen würde, wenn er wüsste dass es sich um Ransomware handelt.

    Microsoft hat ein Feature namens "controlled folder access" implementiert, mit dem Anwendungen explizite Erlaubnis brauchen, auch wenn der User das Recht hat die Daten zu bearbeiten. Wundert mich ein wenig, dass das hier im Thread noch nicht vorkam. Hat sich das mal irgendwer detaillierter angesehen?
    Art. 6 der Richtlinie 2006/24 ist mit den Art. 7 und 52 Abs. 1 der Charta der Grundrechte der Europäischen Union unvereinbar, soweit er den Mitgliedstaaten vorschreibt, sicherzustellen, dass die in ihrem Art. 5 genannten Daten für die Dauer von bis zu zwei Jahren auf Vorrat gespeichert werden.
    Generalanwalt Pedro Cruz Villalón - Europäischer Gerichtshof

  21. #21
    Defender of Freedom

    Administrator

    Avatar von Metal_Warrior
    Registriert seit
    Aug 2013
    Ort
    /dev/mapper/home
    Beiträge
    3.531
    ngb:news Artikel
    7

    Re: Brainstorming: Wie vor Ransomware schützen als 0815 Anwender?

    Also ich mach das anders, und ich hab auch ein paar ganz spezielle Spezialisten in dieser Beziehung:

    Alle Daten werden im Netzwerk abgelegt, auf einem 2 TB Storage. Der Server, der diesen Storage hostet, ist ein Debian Linux, und relativ paranoid abgeschottet.
    Zusätzlich wird auf dem Server eine weitere Platte eingehängt mit 12 TB, mit BTRFS formatiert. Dort wird jede Nacht ein Snapshot von der vorherigen Nacht erstellt und mit dem aktuellen Stand überschrieben. Da BTRFS-Snapshots nur Differenzen speichern, sind die neuen Snapshots relativ klein und brauchen kaum zusätzlichen Speicherplatz.
    Snapshots, die über 1 Woche alt sind, werden gelöscht, ausgenommen sie sind von einem bestimmten Wochentag, dann werden sie länger vorgehalten, und jeder erste im Monat wird dauerhaft gespeichert.

    Gibt es ein Problem mit Ransomware, steigt der Speicherplatzbedarf im Backup sprunghaft an, und die User werden es auch sehr schnell merken. Dann hilft das Backup. Ist halt ein Tag Arbeit weg. Ist bei mir kein Problem. Wo es ein Problem wird, würde ich die Zahl der Snapshots erhöhen bzw. die Zeit dazwischen stark verkürzen, bis auf ca. 10-min-Takt. Durch das Frühwarnsystem wäre ein Verschlüsselungstrojaner, der ins Netzlaufwerk greift, sehr schnell aufgeflogen und der Schaden auf wenige Minuten reduziert.

    Frontend absichern ist richtig und wichtig - aber viel mehr noch ist ein Fallback-Plan von Nöten. Dann sind nämlich auch dumme User/ZeroDays ziemlich machtlos.
    GCM/IT/S/O d-(--) s+:- a? C++(+++) UL+++(++++)$ P L+++>++++ W++ w@$ M--$ PS+(++) PE(-) Y+(++) PGP++(+++) t+ 5(+) R* !tv b+(++++) DI(++) G++ e+>++++ h(--) y?
    Das Ende ist nahe: Dem Harleyschen Kometen folgt der Gammablitz beim Scheißen.

  22. #22
    Cloogshicer®

    Moderator

    Avatar von dexter
    Registriert seit
    Jul 2013
    Beiträge
    2.116

    Re: Brainstorming: Wie vor Ransomware schützen als 0815 Anwender?

    Zitat Zitat von Shodan Beitrag anzeigen
    Microsoft hat ein Feature namens "controlled folder access" implementiert, mit dem Anwendungen explizite Erlaubnis brauchen, auch wenn der User das Recht hat die Daten zu bearbeiten. Wundert mich ein wenig, dass das hier im Thread noch nicht vorkam. Hat sich das mal irgendwer detaillierter angesehen?
    Klingt interessant, nie gehört.
    Aber:
    Hat auch diverse Limitierungen. Soweit ich das verstehe ist das eine "Komponente" von Windows Defender.
    Verwendet kaum jemand, weil:
    - is nich laut genug ... (wenn ich ein Antivir betreibe, dann will ich schon alle 10 Min erinnert werden, dass ich "geschützt" bin, oder ob wer mich gerade mit einem Cookie bedroht)
    - is von MS
    - ist "Software", also kein System/Dateisystem
    - diverse andere

    Die Kritikpunkte führen natürlich über kurz oder lang dahin, dass man von MS verlanegen will, dass die das OS-seitig machen. Da kommt man wieder schnell in die Monopolecke.
    Wer nachts schläft, muss sich nicht wundern, wenn er tagsüber arbeitet!

  23. #23
    Bot #0384479 Avatar von BurnerR
    Registriert seit
    Jul 2013
    Beiträge
    4.013
    ngb:news Artikel
    1

    Re: Brainstorming: Wie vor Ransomware schützen als 0815 Anwender?

    Zitat Zitat von Metal_Warrior Beitrag anzeigen
    Also ich mach das anders, und ich hab auch ein paar ganz spezielle Spezialisten in dieser Beziehung:
    Ist eine andere Philosophie zu sagen: Wir haben Backups, also müssen wir die Workstations nicht speziell absichern. Ich finde, so der 08/15 Arbeitsplatz wo quasi nie was neues mit gemacht wird kann man ruhig etwas zusätzliche Sicherheit geben mit dem Hintergrund, dass das ein häufiges Einfallstor ist für malware jeglicher Art.

  24. #24
    Defender of Freedom

    Administrator

    Avatar von Metal_Warrior
    Registriert seit
    Aug 2013
    Ort
    /dev/mapper/home
    Beiträge
    3.531
    ngb:news Artikel
    7

    Re: Brainstorming: Wie vor Ransomware schützen als 0815 Anwender?

    @BurnerR: Das schließe ich ja nicht aus. Mein Punkt ist nur: Wer sich zu sehr auf die Clients verlässt, an denen kreative Köpfe sitzen, der vernachlässigt die Situation, in der das Malheur passiert ist. Man kann als Admin nicht jedes Einfallstor zu machen, insbesondere nicht dort, wo andere Menschen aktiv arbeiten, die menschliche Schwächen haben, Fehler machen und Situationen falsch einschätzen. Der NAS-Filer hat diese Probleme nicht.

    Ich fahre sozusagen ein Zwei-Zonen-Konzept. Zum Einen wird das Einfallstor abgesichert, allerdings hat das Limitierungen. Browser haben Schwachstellen, Webseiten sind ohne Scripte nicht bedienbar, per Mail kann alles daher kommen und die AntiViren-Software hat hohe Berechtigungen und ist daher auch ein exponiertes Ziel. Es wird irgendwann zum Bruch kommen, die Frage ist nicht ob, sondern wann. Der NAS-Filer hingegen hat ein einziges Einfallstor, das nur durch mich kontrolliert wird. Ja, alle Clients dürfen darauf schreiben, in ihren Bereichen, aber das Backup sieht keiner davon. Damit hab ich maximale Trennung: Anderes Directory, andere Zugriffsrechte, andere Hardware, anderes Betriebssystem. Diese Faktoren alle zu umgehen, ist für Ransomware nahezu unmöglich. Dazu braucht es manuelle Eingriffe, explizite Kenntnis über eine ganze Exploitchain, und ein winziges Zeitfenster. Ransomware ist darauf nicht ausgelegt, sie ist kein APT-Werkzeug, sie ist ein Massen-Exploit. Und Massen-Exploits greifen eine Sache an, die ich nur unzureichend schützen kann (und genau deshalb tun sie es): Die Menschen.
    GCM/IT/S/O d-(--) s+:- a? C++(+++) UL+++(++++)$ P L+++>++++ W++ w@$ M--$ PS+(++) PE(-) Y+(++) PGP++(+++) t+ 5(+) R* !tv b+(++++) DI(++) G++ e+>++++ h(--) y?
    Das Ende ist nahe: Dem Harleyschen Kometen folgt der Gammablitz beim Scheißen.

  25. #25
    Bot #0384479 Avatar von BurnerR
    Registriert seit
    Jul 2013
    Beiträge
    4.013
    ngb:news Artikel
    1

    Re: Brainstorming: Wie vor Ransomware schützen als 0815 Anwender?

    Ja, es ist absolut richtig und wichtig, dass du das hier erwähnt hast.

    Zum Einen wird das Einfallstor abgesichert, allerdings hat das Limitierungen.
    Das ist das Thema des Threads.

Berechtigungen

  • Neue Themen erstellen: Nein
  • Themen beantworten: Nein
  • Anhänge hochladen: Nein
  • Beiträge bearbeiten: Nein
  •