¿Las copias de seguridad con autenticación a nivel de aplicación anulan el ransomware?

Navega tus respuestas
0

Mientras tenía "demasiado tiempo" y después de pensar detenidamente por mi parte, "encontré" que si se autentica a nivel de aplicación, el ransomware tendría que analizar cuidadosamente todos los archivos de configuración conocidos para recuperar las credenciales de inicio de sesión y luego implementar el backend -acceso a los protocolos para en realidad también tomar este rescate de datos.

Hasta ahora, para la introducción y el "TL; DR", ahora para una descripción más específica:

  • Supongamos que tenemos una computadora que queremos proteger del ransomware.
  • Supongamos que esta computadora ejecuta copias de seguridad con regularidad.
  • Suponga que estas copias de seguridad las realiza una aplicación o servicio en la computadora a un servidor, esta aplicación puede ser muy popular (pero no se incluye con el sistema operativo).
  • Suponga que el sistema operativo no está involucrado directamente en el proceso de copia de seguridad / no proporciona la unidad de destino como unidad asignada.
  • Suponga que la aplicación se autentica (con autenticación PK o nombre de usuario + contraseña) en el servidor backend.
  • Suponga que las credenciales de autenticación se almacenan en texto sin cifrar en la computadora para asegurarlas (como es habitual).
  • Finalmente, suponga que se garantiza que el servidor está limpio de ransomware.

¿Está la copia de seguridad de la computadora ahora a salvo de ser atacada con éxito por un ransomware (no dirigido)?

    
pregunta SEJPM 11.11.2016 - 20:31
fuente

1 respuesta

3

La respuesta a esta pregunta depende completamente de qué tan inteligente es el ransomware contra el que quiere defenderse. Si estás tratando con un ransomware estándar, la respuesta es muy probable que sí, tus copias de seguridad son seguras.

Si estás tratando con un ransomware que conoce tu aplicación y se dirige a ella específicamente, entonces obviamente no, tus copias de seguridad aún están en riesgo.

Tenga en cuenta que, en el primer caso, mientras que el ransomware no puede alcanzar el disco del servidor de respaldo directamente, aún puede cifrar los archivos locales y si su aplicación de respaldo no deja de respaldarlos, antes o después la rotación del respaldo girará todas las copias de seguridad válidas están fuera de existencia.

Puedo sugerir un enfoque diferente:

Mantener varias revisiones de copia de seguridad. Después de realizar una copia de seguridad, muestre un número no trivial de archivos importantes para ver si pasan varias estadísticas para datos aleatorios (por ejemplo, distribución uniforme de bytes, ningún tipo de archivo conocido, casi 0 tasas de compresión, etc.). Si la mayoría o todos sus archivos parecen datos aleatorios, es probable que estén encriptados y que pueda deshabilitar la copia de seguridad y alertar a los administradores de sistemas, por lo que, aunque haya perdido la copia de seguridad más reciente, todas sus revisiones anteriores estarán disponibles.

También puede realizar las pruebas en el sistema en vivo antes de iniciar la copia de seguridad, pero yo verificaría la copia de seguridad en sí, incluso si eso significaba perder una.

Esto protegerá contra TODOS los ransomware.

    
respondido por el Pascal 11.11.2016 - 23:40
fuente

Lea otras preguntas en las etiquetas

Límites teóricos y prácticos en el bloqueo de anuncios Bloqueo de algoritmos de cifrado con un tamaño de bloque de 64 bits (como DES y 3DES) ataque de cumpleaños conocido como Sweet32