12:30
6/6/2019

Często słyszymy: “zainstalowałem antywirusa, mam zaporę, szyfruję wrażliwe dane i robię backup plików – to znaczy, że jestem raczej odporny na cyberataki, prawda? A nawet gdyby coś się stało, to szast-prast, przywrócę sobie wszystko z kopii bezpieczeństwa”. Takie podejście, choć oparte o wiele warstw bezpieczeństwa, dziś może nie być już tak skuteczne jak kiedyś. Aby zapewnić ochronę swoich danych, obecnie należałoby sięgnąć po bardziej zaawansowane rozwiązania, np. backup migawkowy, dostępny w serwerach NAS firmy QNAP.

To prawda, że rozwiązania antymalware i firewall (często uzupełnione jeszcze np. o systemy (H)IDS) były swojego rodzaju pierwszą linią obrony, a gdy już zdarzyło się, że coś się przez nią prześlizgnęło, to wrażliwe dane firmy lub jej klientów chronione były szyfrowaniem i w razie ich skasowania czy uszkodzenia wystarczyło przywrócić stosowne pliki z backupu. To się zmieniło, kiedy nastąpił lawinowy wzrost ataków z ransomwarem.

Ransmoware, czyli zmiana zasad gry

Kilka lat temu sieciowi bandyci zorientowali się, że pieniądze szybko i łatwo zarobią jeśli “chwilowo” pozbawią nas dostępu do naszych danych przez ich zaszyfrowanie. Dane nie są skasowane, ale są niedostępne. Można je odzyskać. Trzeba tylko zapłacić okup atakującemu.

To jest ujmująco prosty model biznesowy – skoro wiadomo, że użytkownicy są skłonni płacić setki czy tysiące złotych za odzyskanie danych z przypadkowo uszkodzonych nośników (czego dowodzi popularność firm świadczących takie usługi), to prawdopodobnie zechcą zapłacić okup po ich nieprzypadkowym zaszyfrowaniu. Oczywiście sam pomysł nie jest nowy (pierwszy ransomware powstał już pod koniec lat 90.) — jednak ostatnio mamy do czynienia z prawdziwą eksplozją popularności takich ataków, co wynika zarówno z tego, że przeciętny użytkownik gromadzi na coraz większej liczbie swoich urządzeń coraz więcej istotnych dla niego danych. Pobieraniu okupów sprzyja też popularności kryptowalut, ponieważ przestępcy mogą prościej niż kiedykolwiek transferować „okup” od ofiary z minimalną tylko szansą na wytropienie odbiorcy.

Pierwsze aplikacje typu ransomware nawet nie tyle szyfrowały dane, co po prostu je ukrywały i w różny sposób utrudniały dostęp do plików. Kolejne szyfrowały je coraz skuteczniej, tak że obecnie najskuteczniejszym sposobem odzyskania plików jest albo przywrócenie danych z kopii zapasowej albo opłacenie okupu.

Przestępcy zdają sobie jednak sprawę, że dzięki backupowi coraz więcej ich „klientów” unika płacenia. Dlatego na rynku zaczął się pojawiać ransomware szyfrujący nie tylko lokalne dane, ale również wszelkie dostępne dla zalogowanego użytkownika systemu zasoby sieciowe, w tym składowane na podmapowanych zasobach kopie bezpieczeństwa.

Po takim ataku – o ile zostanie przeprowadzony skutecznie – użytkownik ma poważny problem. Jeśli autor ransomware’u odrobił pracę domową, to dane są praktycznie nie do odzyskania i dotyczy to zarówno lokalnych plików w oryginalnej wersji, jak i ich kopii zapasowej przechowywanej w sieci (bo ona również jest zaszyfrowana). Teoretycznie przed takim zagrożeniem chroni wykonywanie kopii zapasowej na odłączanym nośniku (np. dysku USB czy podłączanym cyklicznie zasobie sieciowym)… tyle, że takie rozwiązanie to żaden backup, bo nie jest wykonywane automatycznie, w zdefiniowanych interwałach czasowych (lub stale), a na dodatek zawsze może się zdarzyć, że złośliwy program zaktywizuje się akurat w czasie, gdy nośnik służący do wykonywania kopii bezpieczeństwa jest podpięty do zainfekowanego komputera.

„Ja się nie chronię, ale mi nic nie grozi…”

W świetle tego wszystko dość szokujące są wyniki raportu, które w ubiegłym roku na zamówienie firmy QNAP przygotowało wydawnictwo IDG Poland. Dowiadujemy się z niego np. że ponad 90% ankietowanych (a byli nimi menedżerowie IT) uważa, że stan bezpieczeństwa w ich firmach jest dobry lub bardzo dobry i ich organizacje są odpowiednio zabezpieczone przed atakami oprogramowania ransomware (96% odpowiedzi). Jednocześnie jednak, w innej części raportu, czytamy, że zdecydowana większość ankietowych stosuje w tym celu zabezpieczenia, które de facto w walce z ransomwarem skuteczne nie są – 35% deklaruje wykonywanie backupu pełnego/różnicowego, 14,29% – szyfrowanie danych, zaś tylko 9,52% – korzystanie z backupu migawkowego (ang. snapshots), czyli rozwiązania pozwalającym na tworzeniu wielu kopii/wersji backupu i — w razie potrzeby — przywracaniu tej z nich, która jest w danej chwili potrzebna.

Tzw. migawka chroni bloki pamięci (pliki) przed nadpisaniem/zmianami. Każda edycja zapisywana jest w innych blokach. Ponieważ szyfrowanie to także edycja pliku – zapisywana jest w innych blokach. Dzięki temu możemy wracać do poprzednich wersji pliku (lub całej zawartości woluminu) bez obawy, że zostały zaszyfrowane.

Choć migawki jako takie nie chronią przed samym atakiem ransomware’u (bo nie takie jest ich zadanie), to pozwalają w prosty sposób zabezpieczyć się przed jego konsekwencjami.

Ponad 95% menedżerów uważa, że skutecznie chronią swoje firmy przed ransmoware’em, ale jednocześnie tylko co 10 z nich używa w swojej organizacji rozwiązania, które faktycznie realnie zapewnia odpowiednio skuteczną ochronę przed tym zagrożeniem.

Przez dłuższy czas migawki dostępne były głównie dla użytkowników najdroższych, zaawansowanych urządzeń i aplikacji do tworzenia backupu – jednak QNAP konsekwentnie udostępniał je użytkownikom coraz to większej liczby swoich urządzeń i obecnie większość QNAP NAS-ów obsługuje backup migawkowy.

Grzegorz Bielawski z QNAP Polska

„Przyznam szczerze, że wyniki badania przeprowadzonego przez IDG Poland były dla nas raczej szokujące – zdajemy sobie sprawę z tego, że dla wielu organizacji ransomware może być zagrożeniem dość nowym i nie do końca jeszcze rozpoznanym, nawet mimo tego, że media regularnie informują o kolejnych opłakanych w skutkach atakach. Ale z raportu wynikało w sumie coś innego – z jednej strony użytkownicy sugerują, że wiedzą co to ransomware… z drugiej jednak, zdecydowana większość z nich nie robi nic, co naprawdę stanowić może skuteczną ochronę przed tym zagrożeniem” – wyjaśnia Grzegorz Bielawski z QNAP Polska.

Dla firm utrata dostępu do baz danych czy dokumentów oznaczać może przestoje i potężne straty finansowe – dlatego też wdrożenie migawek powinno być dla nich absolutnym priorytetem. Funkcja migawek na serwerach QNAP NAS oferuje dodatkowe narzędzia, pozwalające w pełni zautomatyzować cały proces wykonywania takiej kopii, a także maksymalnie oszczędzać miejsce na dyskach NAS-a (ponieważ w kolejnych kopiach zapisywane są tylko zmiany/nowe pliki, a nie wszystkie dane)” – dodaje Bielawski.

Zabezpieczenie danych przed zaszyfrowaniem w QNAP jest możliwe przez zastosowanie warstwowej architektury pamięci masowej, szczególnie puli pamięci. Dane, które zapisywane są na urządzeniu trafiają do utworzonych woluminów (lub LUN, jeśli przestrzeń udostępniona jest blokowo) i tam są dalej dostępne dla użytkownika. Jednak w momencie tworzenia migawki, nie jest ona zapisywana razem z danymi wewnątrz woluminu, ale poza nim, bezpośrednio w puli pamięci. Co ważne, po utworzeniu migawki, kolejne zmiany w pliku zapisywane są w innych blokach dyskowych. W sytuacji, gdy przestrzeń dyskowa jest udostępniona dla zewnętrznych systemów – np. w formie udostępnionego w sieci folderu, ransomware, który zaatakował system klienta ma dostęp do danych tylko na poziomie plików danego katalogu. Dlatego nawet, jeśli takie złośliwe oprogramowanie zaszyfruje pliki, takie zmiany nie nadpiszą oryginalnych bloków w puli pamięci, bo je chroni migawka. Dostęp do migawek i przestrzeni przez nie zabezpieczonej ma tylko system urządzenia – dlatego zaszyfrowanie danych z poziomu stacji klienckiej w żaden sposób nie zagraża danym w migawce.

Szczegółowe informacje na temat funkcji migawek w systemie QTS (OS-ie urządzeń QNAP NAS) znaleźć można na stronie QNAP

Niniejszy artykuł jest artykułem sponsorowanym i za jego opublikowanie redakcja Niebezpiecznika otrzymała wynagrodzenie.


Dowiedz się, jak zabezpieczyć swoje dane i pieniądze przed cyberprzestępcami. Wpadnij na nasz kultowy ~3 godzinny wykład pt. "Jak nie dać się zhackować?" i poznaj kilkadziesiąt praktycznych i przede wszystkim prostych do zastosowania porad, które skutecznie podniosą Twoje bezpieczeństwo i pomogą ochronić przed atakami Twoich najbliższych. Uczestnicy tego wykładu oceniają go na: 9,34/10!

Na ten wykład powinien przyjść każdy, kto korzysta z internetu na smartfonie lub komputerze, prywatnie albo służbowo. Wykład prowadzimy prostym językiem, wiec zrozumie go każdy, także osoby spoza branży IT. Dlatego na wykład możesz spokojnie przyjść ze swoimi rodzicami lub mniej technicznymih znajomych. W najbliższych tygodniach będziemy w poniższych miastach:

Zobacz pełen opis wykładu klikając tutaj lub kup bilet na wykład klikając tu.

61 komentarzy

Dodaj komentarz
  1. A jak mowilem ludziom: BluRay + Milenial Dyski (wcale nie takie drogie) ~ to patrzyli na mnie jak na yeti bo maja NAS’a, Cloud’a czy zewnetrzny HDD na USB… (I wiem, technicznie sie da byc wzglednie bezpiecznym ~ ale 99% uzytkownikow i tak wybierze wygode a to wplywa na to jakie rozwiazania so dostepne na rynku).

    BD nie jest najtanszym rozwiazaniem, ale nie jest tez przesadnie drogie jesli nie wypalamy wszystkich danych w naszym posiadaniu na slepo (nawet na leniwego virtualne maszyny (zwlaszcza poprawnie zpartycjonowane) mozna backupowac efektwnie (sprzatamy, zerujemy wolne miejsce, kompresja – na pelny backup co pare miesiecy, a w miedzy czasie tylko wzglednie niewielkie inkrementy)).

    PS. Nie wspominam nawet pendrive’ow, bo zakladam ze nie tylko ja zauwazylem ze spora czesc szybko traci dane (jesli ktos niewierzy mozna sobie do wiekszych plikow dorzucic sumy kontrolne ~ na jednym z wiekszch kingstonow wystarczy tydzien zeby pojawily sie pierwsze bledy).

    • Tylko, że częsta wymiana płytek w napędzie jest upierdliwa, tak samo jak wymiana taśm i innych tego typu rozwiązań – po prostu musisz iść do serwerowni i ręcznie przełożyć płytkę. O ile serwerownia jest piętro niżej, to spoko, ale jeśli jest oddalona o 50 km to już robi się problem.

      Migawki mają plusy, ale mają też minusy, a przede wszystkim kilka migawek przy mocno używanym NASie potrafi zająć całą przestrzeń, a nie widziałem NASa, który by posiadał jakąś większą logikę do automatycznego zarządzania, np. zostaw migawkę sprzed miesiąca, i sprzed tygodnia oraz 3 z ostatnich dni, a resztę usuń.
      Tak więc o ile migawki teoretycznie są ok, to praktycznie są również upierdliwe, gdy co chwila trzeba ich doglądać, by w ogóle NAS spełniał swoją funkcję. A co jak wyjedzie się na urlop? Do bani są obecne rozwiązania migawek, ot co.

      Kiedyś widziałem program do backupu dla Windows, który na wyznaczonych dyskach tworzył sobie partycje ext2 i używał ich do backupu. Windows ich nie widział, więc żaden malware nie mógł ich popsuć. Niestety ten program już chyba nie istnieje, bo go nie mogę nigdzie znaleźć.

    • Z BluRay to idiotyczne rozwiązanie.Raz, że i tak można złapać utajonego wirusa :), a dwa upierdliweee czasochłonne dogrywanie. Najlepsze rozwiązanie to kopia ( z opcją tylko do odczytu) + cykliczne migawki.

      Ja mam windows XP, brak antywirusa oraz zapory sieciowej i zero wirusów. Ciekawe dlaczego?

    • @Kenjiro
      Swego czasu przed BluRay’em byly dostepne biznesowe jukeboxy w niektorych centrach danych. Wynajmowales sobie takiego, mozna bylo nawet wybrac model (wielkosc/ilosc dvd w szafie) + soft ktory to obslugiwal – dokumenty z firmy ladowaly sobie tam bezpieczne, zaszyfrowane i niemozliwe do zmiany (wymagania autytu w niektorych branzach).

      Ps. W przypadku tasm sa one zmieniane automatycznie (to nie jest stary kaseciak) nawet w tych antycznych. Zajmuje to chwilke (w najgorszym wypadku zmiana i przeindeksowanie tasmy, jak maszyna jest zajeta, zajmuje ~15 minut, w wiekszoscy wypadkow kilkadziesiat sekund). Wszystko zdalnie. Nie jest jakims specjalnym problemem.

      Co do migawek – nie rozumiem problemu. Tego typu powtarzalne proste sprawy (plus okresowe testowanie) rozwiazuje sie skryptem.

    • Ale wiesz, że piszemy o NASie typu QNAP, gdzie po każdej aktualizacji mogą polecieć wszystkie własne zmiany, a automatyczne aktualizacje są domyślnie włączone? Miło jest po miesiącu się dowiedzieć, że się nie robi to co chciałeś, a akurat jesteś na urlopie…
      W skrócie, to nie jest rozwiązanie, tylko rzeźbienie w g…, na które może sobie pozwolić student robiąc w domu kopię zdjęć z wakacji, a nie jakakolwiek najmniejsza nawet firma.

      A zmieniarki taśm kosztują… no… jak 10 najwyższych modeli NASów…
      Zmieniarki płyt zresztą też niemało, a upierdliwość tego rozwiązania jest ponad miarę.

      Zresztą cała korzyść z kopii na taśmach czy płytach jest jedynie taka, że możesz komplet taśm czy płyt z kopiami z tygodnia wywieźć do innej lokalizacji na wypadek klęski żywiołowej, ale i to ma coraz mniejszy sens w dobie coraz szybszych łącz biznesowych.

    • @WkurzonyBialyMis a w Permie żyły ……..

      Jak kogoś interesuje archeologia, to nie siedzi na takich forach.

    • RDX zewnętrzny i spokój. Kasety mam od PN do PT w sejfie ognioodpornym trzymanym w drugim budynku i GIT. BluRay i taśmy no cóż…. jak widzę biblioteki taśmowe to wyję ze śmiechu. Widziałem spaloną serwerownię z całą biblioteką

    • @Kenjiro
      NAS Netgeara RN316 jakiego mam pod opieką ma mniej więcej taki system zarządzania migawkami:
      -przyjmijmy, że dla danego zasobu robi codziennie
      -po miesiącu zostawia tylko z końca tygodnia
      -po kolejnym miesiącu z końca miesiąca
      -potem już do oporu lub ustawionego limitu miejsca i kasuje najstarsze

      Odnośnie konfiguracji NAS-a, to chyba jedną z podstawowych rzeczy jest wyłączenie automatycznych aktualizacji. Nie raz były wpadki z błędami w oprogramowaniu, wolę poczekać i poczytać reakcje innych użytkowników, upewnić się, że aktualizacja przejdzie bezproblemowo i oprogramowanie jest stabilne, niż ryzykować wywaleniem się serwera.

  2. Nie dajcie się zastraszyć, wystarczy urbackup.

    • Otóż to, fantastyczne rozwiązanie!

  3. @WkurzonyBialyMis9

    Jak masz do backupu kilka czy kilkadziesiąt TB to spróbuj to wypalać na płytach.

    • > @WkurzonyBialyMis9
      >
      > Jak masz do backupu kilka czy kilkadziesiąt TB to spróbuj to wypalać na płytach.

      A masz do backupu kilka czy kilkadziesiat TB?
      Albo chociaz jakiekolwiek doswiadczenie w tym temacie, czy kompletnie nic – tylko tak sobie pomyslales, ze no przeciez “kilka czy kilkadziesiat TB” na plyte to nie wejdzie?

      Rozumiem, ze wszedzie tez chodzisz pieszo bo przeciez do osobowki “kilku czy kilkudziesieciu” ton nie zaladujesz…

    • A kto się będzie dzisiaj babrał z setkami płyt? To jest nośnik z poprzedniej epoki.

  4. Napisz exploita na system backup’u migawkowego-challenge :)
    Wymagania:
    – Zamiast shellcodu podstaw ransomware code ;D
    – Zrób full disclosure bez informowania devsów
    Oczywiście całość to realny joke i nie biorę odpowiedzialności jeżeli ktoś mój komentarz weźmie na serio

    • Napisałeś “na serio” zamiast seriously. To trochę obniża wiarygodność twojego wpisu.

    • I właśnie dlatego wolę fizyczną separację danych od programowej. Programowe rozwiązania w końcu dorobią się 0-daya i cały ultranowoczesny backup szlag trafi.

    • Automatyczna rotacja migawek? Ze nie ma nigdzie? Wiem ze zaraz mnie tu zjedzą, ale w Synology z btrfs jest i to od dawna. Można ręcznie wybrać ile jakich migawek ma być, albo pozostawić to automatyce która chętniej kasuje migawki między którymi mało się zmieniło zostawiajac te między którymi rzeczywiście były istotne zmiany. Do tego HyperBackup który tez robi incremental backup, wiec nawet jak zbackupuje zaszyfrowany zasób, to poprzednie dane będą dostępne. Poza tym taki backup po ataku ransomware może generować alert, ze zmianie uległo bardzo dużo plików – łatwo zauważyć i zareagować, do tego widać kto robił zmiany (jest zainfekowany). Tak wiec koledzy z Qnap – nie piszecie o kosmicznie nowych technologiach, ale dobrze ze piszecie, co potwierdzają wyniki opisanej ankiety. Nie ma nic gorszego niż złudzenie bezpieczeństwa.

  5. Dość dobrym i stosunkowo tanim i prostym rozwiązaniem jest posiadanie 2 dysków na USB i co jakiś czas robienie pełnego backupu raz na jednym a raz na drugim. Dyski podłączane tylko na czas robienia backupu więc praktycznie nie ma ryzyka żeby wirus usunął z nich dane, musiał by to zrobić w trakcie robienia backupu, co jest mało prawdopodobne. Ale nawet i w takiej sytuacji na drugim dysku pozostają nietknięte dane. Również w przypadku awarii jednego z dysków, zawsze mamy kopię na drugim.

    • Jeśli komputer (którego robisz backup) ma dostęp rw do nośnika z backupem, to takie rozwiązanie w zasadzie jest tylko zabezpieczeniem na wypadek sprzętowej padaki dysku w komputerze lub przypadkowym usunięciem danych przez użytkownika (czyli w praktyce nie masz zabezpieczenia na wypadek złośliwego oprogramowania). Pomijam już kwestię samego użycia dysków przenośnych podłączanych bezpośrednio przez USB – takie coś można stosować w warunkach domowych a nie biznesowo.

  6. jeśli możesz modyfikować bezpośrednio nośniki z kopią bezpieczeństwa z poziomu kopiowanej maszyny to nie masz kopii bezpieczeństwa, podstawowa zasada

    • (+1)
      Właśnie miałem napisać coś takiego:
      Jeśli backup ma prawa rw, to nie masz backupu.

    • O to właśnie chodzi – migawki nie mogą być edytowane, więc nawet modyfikacja/zaszyfrowanie pliku backupu nie oznacza jego utraty

  7. Bardzo dobry advertorial, a nie żaden gniot typu “ten spręt jest super, bo tak”.

    • Do pełni szczęścia brakuje tylko jakiegoś koda zniżkowego… ;)

    • Mówisz i masz – 10% na zakup dowolnego QNAP z hasłem “niebezpiecznik” :) (ale żeby nie było, dostanie go 10 pierwszych osób) :)

  8. Backup w sieci z komputera roboczego R na serwer A. Drugi serwer (B) pobiera backup z serwera A tworząc kopię przyrostową. R nie ma bezpośredniego dostępu do B…

  9. Wystarczy robić backup w modelu klient-serwer, dbając o to aby to serwer inicjował połączenie.
    Wirus na kliencie spowoduje co najwyżej to, że na systemie backupowej pojawi się nowa wersja pilku – oprócz czystej ta z wirusem.

    Z darmowych rozwiazań tego typu mogę polecić backuppc. Robi deduplikację i kompresję [1] plików, ma kopie przyrostowe i pełne, automatyczne harmonogramy z wykrywaniem komputerów typu laptop, które w sieci pojawiają sie okresowo.

    [*1] Dzięki temu możemy backup wszystkich domowych komputerów, trzymając 10 kopi pełnych + 10 przyrosotwy, zajmuje niewiele więcej niż wielkość pojedynczej maszyny.

    • No właśnie nie kumam, dlaczego nikt tego nie poleca. Od kilkunastu lat backupuje swoje hosty ze specjalnie zrobionego serwera do backupów gdzie ten serwer ma po prostu odpowiednie uprawnienia dostępowe do tych hostów. Nalezy zadbać odpowiednio o ten serwer (a nie musi miec w końcu otwartego żadnego standardowego portu), ale i tez nie musi on przeciez chodzić na okrągło a jedynie włączac się na czas backupów (jak ktos mocno paranoidalny).

  10. No niestety, ale QNAPa ostatnio musieliśmy wymienić na inne rozwiązanie, ponieważ wielokrotnie tracił możliwość backupowania (brak możliwości połączenia), albo nie pozwalał się dostać do danych TM.

    • Możesz odezwać się na PW i napisać coś więcej o problemie? Chętnie to sprawdzimy.

    • to jeszcze adres lmilic [małpka] qnap.com

  11. hmm, a zwykłych archaicznych tasiemek to już nikt nie stosuje?

    • oj stosuje stosuje :) gdyby nikt nie stosował, to by nie wychodziły coraz to nowe standardy LTO :) ale jak możesz przeczytac wyżej, dla wielu jest to rozwiązanie “upierdliwe”, ale nie ma się co dziwić, w gimnazjum miał zwolnienie z wf-u to i w pracy chce tylko siedzieć na dupie i broń boże nie musieć schodzić do serwerowni po schodach :)
      tyle, że o obecnym pokoleniu też pomyślano konstruując biblioteki taśmowe…cóż, trzeba tylko chcieć.

  12. Zmieniasz rozszerzenie backupa na .exe lub najlepiej pakujesz jako sfx do exe i gotowe :)

    • I co to niby da w przypadku ransomware?

  13. Jak się okazuje, już niedługo możemy powrócić do papierowych dokumentów

  14. Czytam sobie ten artykuł, czytam i niby jest super rozwiązanie, że mamy migawkowy backup. Ale te migawki to też pliki, a do nich ma dostęp np. osoba IT. Do tego owe migawki są przechowywane w miejscu, do którego mamy dostęp sieciowy.

    Zatem nasuwa mi się skromne pytanie, czym ten system migawkowy, tak naprawdę jest lepszy od codziennej, automatycznej kopii, w trybie kilka kopii wstecz ? Nie mówię o danych strategicznych, gdzie każda minuta zmian jest ważna, bo w takiej sytuacji migawki muszą być zastosowane.
    Do tego migawki, to na ogół tylko zmienione części danych, zmienione pliki. Jak tylko migawki mi się zachowają, to trochę bieda.

    Czy firma QNAP ma specjalny obszar na dyskach w NASach, na których trzyma owe migawki, do którego nie można się dostać w zwykły sposób, a tylko nadzwyczajną metodą ?

    Może mylne, ale mam wrażenie, że artykuł bardziej reklamuje rozwiązania QNAP, jak najbardziej dobre, znane mam w branży IT, jak i kilku innych producentów.

    • Tak, mamy specjalny obszar, który przechowuje migawki. W QNAP migawki nie są przechowywane w postaci plików. W momencie tworzenia migawki system na poziomie Puli Pamięci “blokuje” edycję zapisanych bloków – każda zmiana na poziomie pliku zapisywana jest w innym miejscu puli pamięci. Oczywiście dostęp do oryginalnych bloków ma tylko system urządzenia. W momencie przywracania – mapowane są oryginalne bloki zabezpieczone przez migawkę. Podsumowując – migawka nie jest przechowywana na woluminie tylko poza nim, więc nawet uszkodzenie całego woluminu nie oznacza utraty danych (co najwyżej tych, które pojawiły się od ostatnio wykonanej migawki).

  15. Wniosek z artykułu taki, na czas kopii, trzeba mieć dwa miejsca, podłączane fizycznie ręcznie lub automatycznie, na przemian, na czas robienia kopii, bo jeśli padnie mi jedno miejsce, to mam to drugie. Stosowanie przemienne magazynu kopii zapasowych ma swoje zalety, ma swoje wady, ale chyba najlepiej nas uchroni, do sytuacji, która jest opisywana w artykule.

    A było nam tworzyć komputeryzację i odchodzić od papierowego formy dokumentu ? :))
    To tak żartem…
    Aby zdobyć kiedyś dany papier, trzeba było się nieźle narobić i nachodzić. :)))
    A niejedna szafa pancerna skrywa do tej pory ciekawostki, w formie papierowej rzecz jasna… :))))

  16. Przecież na NASie (np. Synology) łatwo można ustawić wersjonowanie plików, albo backup w obrębie samego NASa. Czyli mój komputer backupuję do sieciowego katalogu NASa, a nas ten katalog wersjonuje albo backupuje.

    • Problem w tym, że backup w obrębie samego NAS może być niewystarczający, jeśli ransomware zaszyfruje wszystkie pliki – a więc w najgorszym scenariuszu komputer, jego backup i backup tego backupu. Stąd zaleta migawek – są poza woluminem, nie są plikami, nie zostaną zaszyfrowane.

    • Kopia danych w obrębie samego Synology NAS, np: przy użyciu HyperBackup na woluminie, który nie jest widoczny jako zasób w sieci może być jakimś rozwiązaniem, ale migawki w Synology też są (w modelach z obsługą Btrfs) i też nie są widoczne dla systemu plików (chyba że ktoś sobie taką funkcję włączy).
      Migawki nie mają zastępować kopii bezpieczeństa, są po prostu jej elementem składowym. Mają zabezpieczać dane w krótkich odstępach czasu np: miedzy pełnymi backupami.

    • Różnica dotyczy samego miejsca przechowywania migawki. W przypadku QNAP migawka NIE jest przechowywana w obrębie woluminu, ale na poziomie puli pamięci (w przeciwieństwie do wspominanego rozwiązania). A to robi sporą różnicę, gdyż migawka woluminu jest od niego niezależna i w razie poważnego uszkodzenia woluminu, z tej migawki dane wciąż będzie można odzyskać.

  17. Masz Backup czy Backup & Recovery. ;)

    • Backup Schrodingera – stan każdej kopii pozostaje nieznany do momentu podjęcia próby jej przywrócenia :D

  18. Lokalna bramka z cachem + S3 + wersjonowanie.

  19. @Prosty ubek 2019.06.07 09:06 | # |
    > @WkurzonyBialyMis a w Permie żyły ……..
    >
    > Jak kogoś interesuje archeologia, to nie siedzi na takich forach.

    (^-^)

    @Marian Paździoch syn Józefa 2019.06.07 12:52 | # |
    > A kto się będzie dzisiaj babrał z setkami płyt? To jest nośnik z poprzedniej epoki.

    Mie jest tak ze nie rozumiem argumentu (polecam poszukac na YT: “mitchell and webb bronze orientation”), po prostu uwazam ze sama pozycja na skali chronologicznej nie jest jednoznacznym/oczywistym wyznacznikiem jakosci.
    Jesli mam dwie aplikacje, ktore oferuja dokladnie taka sama funkcjonalnosc, jedna zajmuje 500MB druga 20GB, przy czym ten nowszy (20GB) oferuje wydajnosc zmniejszona o 50% i dziury, to moze w takim przypadku nowe nie najlepiej spelnia definicje postepu.

    Nic nie jest za darmo, technologia komputerowa to wzglednie nowa dziedzina ale juz od jakiegos czasu jestesmy w miejscu w ktorym “postep” zamienia sie w wymiane czegos za cos. Nie mozna jednoczesnie byc zlotym medalista w sprincie i sumo’ka w wadze ciezkiej.
    I zgodze sie, plyty nie beda pasowac wiekszosci uzytkownikow – ale jakie alternatywy polecacie?
    NASy to w wiekszosci tragedia, dziurawe oprogramowanie, brak update’ow, ograniczona zywotnosc i zaleznie od modelu/producenta: niekompetencja “flawour of the month” (jak np. to na ile sposobow mozna bylo zawalic szyfrowanie dyskow).
    Technicznie mozna postawic sobie cos samemu na mini-ITX’e ale to dodatkowy komp ktorym trzeba sie zajmowac, nie wspominajac o dodatkowych kosztach.
    Zeby wyleczyc sie z chmury wystarczy przeczytac licencje oferowanych uslug. Niewspominajac, ze nie jestem raczej jedynym ktory sstracil dane i pieniadze bo firmie powinela sie noga ktos kupil/ktos sprzedal i nagle uslugodawca(i dane) przestal(y) istniec…

  20. Ja osobiście preferuje praktykuje taki system kopii bezpieczeństwa:

    1. Kopia na zewnętrzny HDD raz w tygodniu

    2. Kopia dysku zewnętrznego na inny dysk zewnętrzny o takim samym rozmiarze na maszynie stale odciętej od internetu z zainstalowanym Lubuntu co 2 tygodnie

    3. Najważniejsze pliku o małych rozmiarach dodatkowo do chmury

    Także gdy coś się stanie z kopią nr.1 to zawsze mam drugą a poza tym za każdym razem sprawdzam co zapisał S.M.A.R.T aby uniknąć przykrych niespodzianek. Można pokusić się jeszcze o wykonanie obrazu partycji na której jest OS i wszystkie programy

  21. A ja powiem tyle – MooseFS.
    Rozproszony, redundancja ile się chce i ile kto woli, wersjonowanie zmian tak samo. I dostępność przez cokolwiek, wliczając SMB/CIFS.

  22. Mnie uratowało najprostsze rozwiązanie,
    NAS bez udostępniania zasobów w sieci a usługę ftp, po zaszyfrowaniu serwera, byłem pół dnia do tyłu ale nic nie zginęło.

    Szyfrownie zasobów udostępnionych to standard przy dzisiejszych ransomware.

    • Odnosnie tego (pomijajac kwestje zainfekowania samego NASa (niekoniecznie przez FTP)), zna ktos moze jakies sposoby skutecznej kontroli poprawnosci danych w tym protokole (inne niz brzydki workaround w postaci wymuszania zaszyfrowanego polaczenia)?
      Jedyne co udalo mi sie osiagnac dobrym sprzetem sieciowym to znaczacy spadek czestotliwosci bledow (czemu niestety daleko do niezawodnosci – bo z zasady nie wiesz ktorego akurat backupu bedziesz potrzebowac…).

  23. Ja rozwiązałem to FTPem. Uprawnienia tylko na wgranie pliku bez możliwości modyfikacji istniejącego. W razie czego kolejny backup wgra sie zaszyfrowany. Proste i skuteczne.

  24. no tak, ransomware… Rozwiązań jest wiele i doświadczenie pokazuje czy backup jest dobry. Zanim twoje dane zostaną zaszyfrowane, sprawdź czy twoja kopia bezpieczeństwa jest sprawna. Ja polecam, dwa urządzenia typu QNAP. Pierwszy, który robi kopie migawkową mapowanych danych z harmonogramem a drugi QNAP (inny budynek) z Xopero – dwupoziomowy backup stacji roboczych oraz serwerów. Działa :)
    Sprawdzone po ransomware.

  25. Trochę się dziwię komentującym, którzy uważają backup z użyciem streamera (taśmy) za upierdliwy i drogi. Dzisiejsze biblioteki nie są IMO dla szanującej się firmy (nie firmy krzak, która skąpi grosza na IT) dużym wydatkiem, a są w stanie pomieścić kilka taśm jednocześnie. LTO6 przy kompresji jest w stanie wcisnąć na taśmę ponad 6TB danych. Czy ktoś potrzebuje większego backupu? Poza tym, takie taśmy też mogą być szyfrowane. Przechowywanie taśm w budynku oddalonym nawet kilkadziesiąt metrów w sejfie i sprawa backupu jest załatwiona. Jakoś nie przemawia do mnie argument “wygody” w kwestii backupu. Ma być bezpiecznie, nie wygodnie.

    Fajnym rozwiązaniem wydaje się być pomysł z partycją ext pod Windowsem. Taką partycję można by również szyfrować, tyle tylko, że jest to rozwiązanie software-owe, a software ma to do siebie, że ciągle ma jakieś dziury. To nieuniknione. 0day prędzej czy później.

    • Jedynym powodem dla ktorego cos takiego moglo by funkcjonowac/chronic (bo podejrzewam ze rozwiazanie softwareowe z poziomu samego programu szyfrujacego jest lekkie i trywialne) jest to, ze wzglednie niewielki procent uzytkownikow kozysta z dual-boota czy czegos podobnego. Daleko temu do rozwiazania.

      Ps. Troche przekombinowane bo ty przeciez tez potrzebujesz sterownika (jesli nie, i zapisujesz dane z windowsa przez zewnetrznegoo posrednika (ie. live usb etc) na dysku windowsa/partycjiEXT) to nawet gorzej.
      Juz chyba lepiej jest trzymac dysk do backupow (rozumiem ze nie robisz backupow dysku na tym samym dysku ktory jest backupowany…z oczywistych powodow) software’owo wylaczony, i podmontowany pod jakas lokacjie niz z asygnowana literka.

  26. Mam , stosuję (Qnap TS-563 5 dyskowy) , fajna sprawa , wcześniej zanim miałem NAS to rozwiązaniem była kopia pełna poprzez ftp na prywatny ftp , ftp 2x w tygodniu przenosił wszystkie pliki z folderu kopii do folderu nie RW dla zezewnątrz . Folder dla klienta miał tylko R

  27. Używanie rozwiązań storage bezpośrednio do backupu to pomyłka. Pomiędzy miejscem składowania danych (stacja robocza, zasób sieciowy, itp) a kopią powinno być oprogramowanie backupowe.

  28. Na ransomware zupełności wystarczy maszyna z linuksem prawidłowo oskryptowana, a $$$ na QNAP lub inny chiński wynalazek z CPU ARM, wydajesz na większe HDD a nawet wystarczy na kolejną maszynę i nowymi dyskami. Całość nie tylko wiesz co gdzie i komu wysyła ale również masz krzyżową kopię i prawdziwego demona prędkości. Stosuję oba rozwiązania z QNAP włącznie co działa z prędkością ślimaka na polu golfowym oraz linuksa. Polecam wyłącznie rozwiązania własne stworzone na linuksie to daje 99% gwarancji i pełną kontrolę.

  29. Qnap Qnapem, ale ja jakieś 6 lat temu kupiłem najtańszego NASa Netgeara – ReadyNas 102 – i on od początku miał migawki. A sprzęt kosztował coś koło 500 zł owego czasu (bez dysków)

  30. Kilka lat temu miałem w posiadaniu kontroler SAS/SATA LSI, który miał jedną świetną funkcję. Można było ustalić tryb read-only na wybranym wolumenie logicznym. Dało się to robić z poziomu GUI i konsoli. Skrypt do backupu to już formalność aby proces zautomatyzować

  31. Dyski dyskami, ale biblioteki tasmowej nic nie zastąpi. Ransomware może Ci zamienić dysk w sieczkę, ale tasiemki nie ruszy.

Odpowiadasz na komentarz j4c3k.rz3znik

Kliknij tu, aby anulować

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.

RSS dla komentarzy: