Openwrt+samba+ramsware

Security-all

Sziasztok!
8 gépes önkormányzati hivatalba vagyok informatikai felelős.
Van egy TP-Link 1040 router Openwrt-vel, felraktam rá egy samba 3.6-ot, Usb-n kapcsoltam egy 2 TB-os külső HDD-t, ntfs-el, samba-val megosztottam, a 8 gép lemezképét lementettem rá, lokálisan USB-n keresztül (Windows 10 és egy 7-es), illetve mentenék rá a beépített Windows eszközzel, hálózaton keresztül.
A megosztás \\Router\mnt, nincs meghajtójellel társítva egyik gépen sem.
Kérdésem az, hogy várhatom e, ha valamelyik gép bekap egy titkosító ramsware-t, akkor az letitkosítja a megosztott hdd-t? Locky-vel kapcsolatban olvastam itt a fórumon.
A samba share megosztással megy, guest hozzáféréssel, jelszót gondolom hiába állítanék be, meg users security-t, azt meg kéne jegyeztetni, hogy menjen az automatikus mentés. Btrfs van openwrt alatt, de ha gyorsan, usb-n kell visszaállítani az azért felejtős.
A ramsware annyira valós veszély, hogy F-secure-nak rendszeresen küldök be gyanús fájlokat, amiket utána kezd el veszélyesnek minősíteni.

  • 4511 megtekintés

( zitev v | 2016. 04. 09., szo – 17:10 )

biztos célpont.

--
"Nem akkor van baj amikor nincs baj, hanem amikor van!"
Népi bölcsesség

( uid_20269 | 2016. 04. 09., szo – 17:28 )

Tutira benyalná a crypto-vírust ez a felállás, amiben bízhatsz esetleg hogy a router a vírus tevékenykedése közben meghal a nagy erőforrás
használat / IO-művelet miatt..
--
God bless you, Captain Hindsight..

( SzBlackY | 2016. 04. 09., szo – 17:47 )

Ha van rá eszközöd/kereted, lehet, hogy érdemesebb egy dedikált gépet odatenni erre (úgy számítási kapacitás is lesz és nem a már nem támogatott 3-as szériát kell használnod).

Ha talál egy elérhető megosztást, akkor ezt encrypteli. Amit tudsz tenni, hogy az eszközön (akár a router, akár dedikált gép) csinálsz időnként back-upot (ha nem ntfs lenne, hanem mondjuk valami lvm feletti natív fájlrendszer vagy btrfs, akkor ez akár snapshot is lehet), azt már nem tudják felülírni.

BlackY
ui.: kedden azért ellenőrizd, hogy érint-e a BadLock.
--
"en is amikor bejovok dolgozni, nem egy pc-t [..] kapcsolok be, hanem a mainframe-et..." (sj)

( arpi_esp v | 2016. 04. 09., szo – 19:09 )

ugy kene beallitani a sambat, hogy az user csak uj filet tolthessen fel ra, a meglevoket ne lassa vagy olvashassa, torolhesse, modosithassa.
vagy csinalni egy incoming konyvtarat es az usereknek csak azt ajanlani ki, es egy script onnan elrakna vedett helyre az uj fileokat

Tudni kell a víruskáról hogy jellemzően akkor szólnak amikor már késő.
Két védekezés van ellene:
- snapshot modern filerendszerrel (zfs illetve btrfs) - itt lehet share-elve állandóan a cucc
- inkrementális biztonsági mentés (a helyreállítás hosszabb lesz) - ez külön programmal megy

Mindkét esetben be lehet állítani egy riasztást ami vagy állományok változását vagy a hely túlságos csökkenését jelzi.
Mindkét változatra kevés a routeren levő share. Amúgy az első megoldás kéne az üzemszerű legyen, a második meg annak a mentése.