Sicher vor Cryptotrojanern mit Backupserver über FTP?

Hinweis: In dem Thema Sicher vor Cryptotrojanern mit Backupserver über FTP? gibt es 6 Antworten. Der letzte Beitrag () befindet sich ganz unten auf dieser Seite.

    Ich habe einiges zum Thema Cryptotrojaner gelesen.


    Mir geht es ganz konkret um einen Backupserver im Büro. Das Büro ist chaotisch. Passwords, User, Zugangsberechtigungen kann man alles komplett vergessen. Meine Aufgabe ist es, die Büro-PCs am Laufen zu halten, den Schwerpunkt lege ich also auf eine gute Sicherung.


    Frage: Können Viren und diese Cryptotrojaner über FTP auf einen Backupserver zugreifen? Ich lese immer nur Freigaben. Das ist klar. Im Moment verzichte ich völlig auf Freigaben am Backupserver. Ich sichere mit FreeFileSync per FTP auf den Server. Dieser sichert per rsync auf eine 2. Platte. Es gibt außerhalb noch mal eine Komplettsicherung.


    Im schlimmsten Fall würde ich also Images von den Rechnern zurückspielen und die täglichen Sicherungen.

    Mit "Ja" oder "Nein" lässt sich deine Frage nicht beantworten (zu viele Faktoren).
    Aber grundsätzlich gilt FTP als veraltet und unsicher (FreeFileSync unterstützt neben FTP aber auch SFTP).
    FTP im lokalen Netz mag ok sein.
    Wenn es allerdings um Zugänge aus dem WWW geht, würde ich FTP und FTPS vermeiden und über SFTP nachdenken.
    Und da du für die Sicherheit zuständig bist, solltest du auch gleich alle User schulen, da chaotische Zustände in einer sicheren IT nichts verloren haben. :)
    Detailliertere Antworten können dir hier Sicherheits-Profis geben (da bin ich leider raus).

    Für den Inhalt des Beitrages 137905 haftet ausdrücklich der jeweilige Autor: sterun

    Gib die Hoffnung auf.


    Netzwerksicherheit ist wie Sterun sagt, von vielen Faktoren abhängig. Im Zweifel nutzt der Cryptotrojaner eine noch unbekannte Lücke im FTP Protokoll und verschlüsselt dir deinen Backupserver.


    D.h. Netzwerktrennung, Client-Netz, Server-Netz, Backup-Server-Netz. Dazwischen Firewalls, die nur genau die Protokolle durchlassen, die du erlaubst. Eine restriktive AD, wo nirgendswo irgendwer lokale Admin-Rechte hat, Mitarbeiterschulungen, Spamfilter, komplexe Passwörter, getestete Offsite-Backups. Zum Verrückt werden.

    PRAISE THE OMNISSIAH

    Für den Inhalt des Beitrages 137908 haftet ausdrücklich der jeweilige Autor: Scytale

    Solange du keine Ordnung in deinen Laden gebracht hast, hilft nur beten. Klingt hart, ist es auch. Das nennt man IT-Sicherheit mit Füßen treten. Und für solche Admins habe ich auch kein Verständnis. Das es dich noch nicht getroffen hat, ist wohl eher dem Zufall zuzuschreiben. Sry ... trotzdem schöne Weihnachten. Und immer schön beten ...

    Und wenn man dann auch noch für die Datensicherheit im Unternehmen verantwortlich gemacht wird?
    Siehe hier: Datenschutz-Grundverordnung: DSGVO als übersichtliche Seite


    Zitat von Find ich auch

    Mir geht es ganz konkret um einen Backupserver im Büro. Das Büro ist chaotisch. Passwords, User, Zugangsberechtigungen kann man alles komplett vergessen. Meine Aufgabe ....

    Eben.

    Für den Inhalt des Beitrages 138005 haftet ausdrücklich der jeweilige Autor: ThomasS

    Zitat von Find ich auch

    Frage: Können Viren und diese Cryptotrojaner über FTP auf einen Backupserver zugreifen? Ich lese immer nur Freigaben. Das ist klar. Im Moment verzichte ich völlig auf Freigaben am Backupserver. Ich sichere mit FreeFileSync per FTP auf den Server. Dieser sichert per rsync auf eine 2. Platte. Es gibt außerhalb noch mal eine Komplettsicherung.

    Ein ganz klares Jein!


    Du hast eine falsche Vorstellung von "Cryptotrojanier".
    (Schon der Begriff verwischt die technischen Tatsachen zu Einheitsdummgeplapper)
    Die Zeiten, in denen EIN Schadcode EINE böse Aktion ausführte, sind längst vorbei.


    Tatsächlich bestehen solche Malwareattacken aus einer meist hochkomplexen Mischung von verschiedenen Tools und Schritten.
    Grob skiziiert verläuft eine solche Infektion in vier Schritten (hier erläutert mit einem frei wiedergebenen tatsächlichen Fall, den ich neulich irgendwo gelesen habe):

    • Aufklärung
      Die BösenBuben®™ versuchen möglichst viel über die zu infizierenden Rechner/Organisationen/Menschen herauszufinden.
      Dazu haben sie neulich einen Mailserver belauscht, der nicht sonderlich sicher war. Sie fanden einen Lieferanten dieser Firma, deren Mailserver sie dann flugs ebenfalls hackten. Und dann sendeten sie von diesem Lieferanten- Mailserver eine Mail an die Mitarbeiterin der ersten Firma, die eben die ganzen Einkäufe erledigte. Schon dafür war eine ganze Reihe von Hackertools und enorm viel Wissen nötig. Die arme Dame, die nur eine übliche Mail von dem Mitarbeiter des Lieferanten erhalten zu haben schien. (Übrigens in perfektem Deutsch mit perfekter Imitation der Sprache dieses Mitarbeiters geschriebenen )
      Damit lieferten sie die Vorstufe zum tatsächlichen Erpressungsversuch. Die Phase
    • begann. Die Infektion.
      Kaum hatte die Dame diese Mail angeklickt, wurde der Malwarestub aktiv. Der tat nichts anderes, als seinem CommandAndControl- Server alles, zu liefern, was er herausfinden konnte und die jeweils zum Hacken nötigen Tools von ebendiesem Server nachzuladen.
      Er war auf einem Windowssystem durch einen Klick aktiviert worden. Also lud er Windows- Spasswort- Cracker nach. Er fand sich in einer Windows AD (ActiveDirectory) Domäne, also lud er alle dafür nötigen Hackertools nach.
      Viel wichtiger war aber die Erstellung eines kompletten Bildes des Firmennetzwerkes. Jeder Rechner, jeder Drucker - kurz jede Gerät, das sich mit dem Firmennetzwerk verbinden kann, wurde getraced.
      Als die Hacker dann endlich genügend Infos hatten, starten sie die nächste Phase, die
    • Propagation
      Jetzt wurde sehr erfolgreich versucht, alle Geräte im Netzwerk ebenfalls zu infiltrieren. Zu diesem Zeitpunkt hatte noch immer kein einziges Gerät irgendwelche Plattenverschlüsselungs- Bösprogramme. Kein einziges!
      War die zweite, dritte Kiste auch ein Windowsrechner, tauchten aber doch schnell ein paar Macs und ein paar Linuxkisten auf.
      Die Windowskisten trugen sehr schnell dazu bei, den Wissenstands der Hacker über die Firma auf einen Stand zu bringen, von dem ihr Chef heute noch träumen mag - bei den Macs und Linuxkisten war das schon schwieiger.
      Naturgemäß fanden die Hacker die Linuxkisten in der EDV- Abteilung. Wo sonst?
      Und das war schwer. Was sonst?
      Aber im Stillen und geduldig trugen sie alles zusammen, bis sie endlich auf einer Linuxkiste eines Admins Root- Zugriff hatten.
      Und damit war der Rest ein 10-Minuten Kinderspiel: Alle Speichergeräte korrekt infizieren.
      Und erst jetzt die eigentliche Schadsoftware laden und auf allen Speicherkistenfrontends installieren. Und damit war es Zeit für die letzte Phase:
    • Ende Gelände! Geld her!

    All this said würde ich dir empfehlen deinem Chef genau dies hier drastisch klarzumachen und damit mehr Geld, mehr Leute und bessere Geräte zu fordern. Es zumindest schriftlich dokumentieren!
    Oder du kaufst dir lieber eine Foodtruck unverkaufst Würstchen an der nächsten Ecke. (Pardon, auf neudeutsch: vegane Seitanburger mit nachhaltigen Pommes)


    Deine Fragestellung ist heue einfach nur absurd.
    Der Typ, den @sterun zitierte mit "Sicherheit ist ein Prozess, kein Zustand" hat einfach recht.


    Wenn sie Rootrechte haben, ist es ein Klacks, den gesamten FTP- Server selbst samt ALLEN Dateien zu infizieren.