Trojaner-Zugriff auf Laufwerk verhindern?
 

In der neuen c't werden Vorschläge für den Speicherort von Datensicherungen vorgestellt, die ich für den Normalverbraucher als realitätsfremd einschätze.

Ich selber habe nur noch SSD, mit Ausnahme einer herkömmlichen Festplatte, auf der ich alle meine Daten komplett vorhalte. Daneben habe ich eine USB-Festplatte, auf die ich meine Datensicherungen spiele.

Anlässlich eines Umzugs auf einen neuen Rechner stehe ich jetzt vor der Frage, ob ich die Festplatte "normal" dauerhaft im Gehäuse anschließen oder über einen Adapter nach Bedarf verbinden soll.

Mir ist klar, dass man den Zugriff auf die Platten - intern oder fallweise angeschlossen - letztlich nicht verhindern kann, wenn sich ein Schadprogramm Administratorrechte verschafft hat, und dass auch das fallweise Anschließen nicht vor Emotet schützt; aber ich frage mich doch, ob es nicht eine Lösung gibt, die ein Hacker überwinden könnte, aber nicht ein Schadprogramm, das ein bestimmtes Repertoire hat, das nicht alles abdeckt. Gibt es sowas?

Ich bin jetzt auf sowas wie mit gestoßen (Beiträge z.B. hier und auch hier). Aber ganz generell: Gibt es etwas, das für Schadprogramme zu speziell/zu aufwändig ist, so dass man nicht mit 100%iger, aber mit hochprozentiger Wahrscheinlichkeit davon ausgehen kann, dass ein Schadprogramm sowas nicht auf der Liste hat?

AW: Trojaner-Zugriff auf Laufwerk verhindern?
 

Ein "intelligentes" externes NAS ist die Lösung für dein Ansinnen :)
(egal ob das dann per USB oder per Ethernet/WiFi mit deinem PC verbunden ist)

- Solche NAS haben stets ein eigenes Betriebssystem(manche was komplett propitäres, manche was auf z.B. Linux basis).
- wenn du dort Laufwerke oder Verzeichnisse auf ReadOnly setzt, dann hat dein PC da nur LeseRechte, egal ob du oder ein Trojaner auf dem PC Admin ist oder nicht.
- einige NAS Systeme haben sogar noch Schlüsselschalter pro Einschub, um hart einzelne Laufwerke zu oder weg schalten zu können
- sehr gute NAS arbeiten intern mit automatisch versionierten Filesystemen und sehr großem Reservespeicherplatz... heißt ein Trojaner kann dir zum Zeitpunkt der Datensicherung wenn du explizit mal Schreibzugriffe erlaubst zwar alles löschen, überschreiben,verschlüsseln... aber es zerstört nur den aktuellen Zugriff, denn du kannst wenn du das NAS wieder in den Readonly Mode setzt, dann einfach auf den vorherigen Stand der zerstörten Dateien zurückschalten
- andere NAS lösen das mit automatischen sequentiellen Snapshot-Backups auf NAS interne Datenspeicher, welche niemals von außen zugänglich sind... da kannst du dann auf einen "kompletten" Snapshot-Stand zurückgehen



...zu deiner Frage ob es PC etwas internes gibt, was Schadprogramme "mit sehr hoher Wahrscheinlichkeit" nicht umgehen können:
ja, man kann manuell im BIOS SATA und USB Ports oder Controler deaktivieren/aktivieren... so kann man interne Datenträger "recht sicher" dekativieren... aber jedes mal ins BIOS gehen und dort was ein/aus schalten ist nicht so das Wahre, wenn man nicht physisch Zugang zum PC hat.. denn RemoteBiosZugriff gibt es erst bei sehr guten Servern oder via spezieller externer Zusatzhardware

AW: Trojaner-Zugriff auf Laufwerk verhindern?
 

Ich habe seit Jahren eine – für mich zufriedenstellende – Lösung für alle meine PC’s: Auf einer SSD-Platte ist C:\ und läuft unter Windows 7 bzw. 10. Auf einer weiteren 4 TB großen NICHT-SSD-Platte habe ich mit der angeblich (?) relativ sicheren Version 7.1a von TrueCrypt mehrere verschlüsselte (1 bis 2 TB große) Laufwerke erstellt, die ich innerhalb von ca. 1 Sekunde hoch- und runterfahren („mounten“ & „dismounten“) kann. Bei jedwedem Internetzugang werden die gemounteten Laufwerke heruntergefahren.
Regelmäßige Systemsicherungen mit EaseUS Todo Backup Free 9.2 erlauben ein sicheres & schnelles Wiederherstellen der kompletten Platte C:\ oder Teile davon. Anstelle von TrueCrypt kannst Du freilich auch VeraCrypt oder GostCrypt verwenden.
Gruß, Andreas

AW: Trojaner-Zugriff auf Laufwerk verhindern?
 

Ist ein NAS, wenn es nur ReadOnly nicht, nicht irgdendwie total sinnlos?

Ich habe es bei mir etwas anders gemacht. Eine der Festplatten im NAS habe ich für Clients per Samba freigegeben. Natürlich mit Name und Passwort.
Alle Clients haben das auch gemountet.
Befällt das jetzt der Trojaner, könnte der alles löschen das ist klar. Die Daten liegen aber noch auf einer weiteren Festplatte im NAS, auf die nur das NAS selber Zugriff hat.
Eigentlich sollte man zusätzlich noch eine Dritte Festplatte irgendwo außerhalb des NAS aufbewahren.

AW: Trojaner-Zugriff auf Laufwerk verhindern?
 

Hm, auch wenn ich etwas völlig anderes im Sinn hatte, so finde ich den Vorschlag eines NAS doch sehr bedenkenswert. Er hätte ganz nebenbei den Vorteil, dass ich vermutlich auch mit meinem Fernseher darauf zugreifen und mir das Kopieren von Filmen auf einen USB-Stick sparen könnte.

Ich bin bei einer schnellen Suche bei einer recht guten Erklärungsseite von Hardwareschotte gelandet. Mit der Synology DiskStation DS120j gäbe es eine Lösung für 100 Euro, bei der ich meine vorhandene Festplatte verwenden könnte. Aber an solche einem einfachen Modell könnte ich wohl kaum einzelne Verzeichnisse auf "Schreibgeschützt" setzen. Gibt es einen besseres Modell? Wenn das jetzt kein großer Aufwand wäre, dann würde es mich nicht allzusehr stören, vor einer Sicherung kurz mal ein Verzeichnis wieder lesbar zu machen. Naja, den Moment könnte ein Trojaner natürlich nutzen, um zuzuschlagen.

Die anderen hier aufgezeigten Lösungen - ich suche ja nicht nur für mich - erscheinen mir doch relativ kompliziert.

Auch würde ich meine Ursprungsfrage gern weiterverfolgen.

AW: Trojaner-Zugriff auf Laufwerk verhindern?
 

..."mehrere verschlüsselte (1 bis 2 TB große) Laufwerke erstellt"...

ähm... wenn das reine Dateicontainer sind(also einfach ein paar große verschlüsselte Dateien im Hauptlaufwerk), dann hast du im Fall von Cryptotrojanern auf dem Hauptlaufwerk die A-Karte... denn wenn die TC Container auch nur etwas verändert werden, zerhaut es dort die komplette Verschlüssung und alles in den 1..2TB ist verloren.


Kleiner Grundsatz: Verschlüsselung dient der "Datensicherheit" im Sinne von berechtigtem Zugriff, aber NIE der Datensicherheit im Sinne Schutz gegen Datenverlust!!!

=> wer verschlüsselt braucht ein viel höheres Level an Schutz gegen jeglichen Datenverlust... denn es gibt oft keinen "Teildatenverlust" einzelner Dateien, sondern es funktioniert "alles", oder alles ist weg... und das ist sicherheitstechnisch gewollt auch gut so!

AW: Trojaner-Zugriff auf Laufwerk verhindern?
 

Ich hole täglich mehrmals alle geänderten Files auf einen USB-Stick runter und aktualisiere von dort meine Datenbestände auf den externen USB-Festplatten, von denen ich etliche besitze und verschiedene Datenstände an unterschiedlichen Orten (bis hin zum Banktresor) lagere. Bisher hatte ich – Gott sei Dank – noch nie Probleme mit Datenverlust gehabt, obwohl ich kein heuriger Hase mehr bin, habe schließlich mit MS-DOS und Turbo Pascal 3.0 angefangen. Aber ich bin ein recht vorsichtiger Mensch.
Andreas

AW: Trojaner-Zugriff auf Laufwerk verhindern?
 

Guck dir mal Jellyfin an. Dann kannst du per Chromecast oder DLNA vom Fernseher drauf zugreifen. Bitte lass die Finger von Plex und Emby, wenn du "Herr" über deine Bibliothek bleiben möchtest.

AW: Trojaner-Zugriff auf Laufwerk verhindern?
 

@Andreas13: metoo.
Seit eine Southbridge-Controller meinte, gelegentlich beim Schreiben von Daten die alle Nullen zu müssen und dadurch einige CD-Produktionen nicht ganz in Ordnung waren, bin ich auch vorsichtig. Weil die Korrumptionen nur selten war hat man es etliche Monate nicht gemerkt. Habe derzeit 111 komplette Datensicherungen meiner Arbeitsdaten.
BTW: git ist ja ganz lustig und extrem wichtig. Aber wenn mal das .git korrupt ist ...
Banktresor habe ich nicht, aber eine Instanz lagert >10km woanders (jetzt grad mit Homeoffice ist der regelmässige Austausch etwas schieriger, aber das ist ein anderes Thema :-))

Und noch was: das Thema finde ich schon wichtig. Hatte mal einen neues PC und dachte ich könnte (und habe) Daten von einer externen Festplatte auf die neue SSD kopiert. Und dabei meinte so ein §$%@€§%$-Schutzprogramm mir gewisse Daten von dieser externen Festplatte löschen zu müssen :cry:

AW: Trojaner-Zugriff auf Laufwerk verhindern?
 

Ich empfehle gerne das Backup Programm DriveSnapshot (www.drivesnapshot.de). Da es nicht inkrementell sondern differenziell arbeitet, bietet das Backup eine sehr hohe Redundanz. Man kann ein Image jederzeit als Drive mounten, dies ist dann auch änderbar, wodurch man auch mal einen alten Stand der Software kompilieren kann. (Die Änderungen werden allerdings vergessen beim un-mounten).

Man kann nun Festplatten im Wechsel benutzen. Nachdem bei einem differenziellen Backup nur eine recht kompakte Hash datei vorliegen muss, kann man ein differenzielles Backup erzeugen, ohne dass die Ursprungsdaten vorliegen, wenn man nur eine Kopie der HSH Datei kopiert hat. Die Ursprungsdaten sind also sicher vor einem Angriff.

Ich halte es für sehr wichtig, dass man keine wichtigen Daten auf C: hat. Die Daten sollten auf einer weiteren Partition, besser externen SSD liegen. Dadurch kann man leicht das System zurücksetzen und auch der Wechsel zu einem anderen Computer ist kein Problem. Auch Komponenten sollte man dort installieren, mit möglichst kurzen Pfaden.

Ein zusätzlichen Schutzschirm bietet AJC Active Backup, dies macht bei jeder Änderung der PAS, DFM und FMX Dateien (oder auf Anfrage) ein inkrementelles Backup. Man kann also für jede Datei Änderungen zurückverfolgen.

AW: Trojaner-Zugriff auf Laufwerk verhindern?
 

Es ist klar, dass die meisten hier die Kenntnisse für elaborierte Lösungen haben, aber ich bin umgeben von Leuten, denen man bei der Einrichtung ihres PC "für alle Fälle" mal eine 1-TB-Platte reinsteckt und dann drei Jahre später sieht, dass sie davon 50 MB belegt haben, worunter aber unersetzliche Daten sind, die sie noch nie gesichert haben.

Ich habe schon vor längere Zeit mal ein Datensicherungs-Programm für solche Leute geschrieben, das ich auch selbst benutze. Man richtet es einmal ein, und dann muss nur noch auf eine große Taste geklickt werden; das kriegen auch solche Leute hin.

Das Problem ist wirklich, wie verhindert man, dass so eine Platte/Stick bei nächster Gelegenheit vom diensthabenden Trojaner geplättet wird. Ich meine, es müsste doch eine Möglichkeit geben, den Zugang zu einem Laufwerk zu sperren, für die der Standardtrojaner nichts in seinem Standard-Baukasten hat. Wäre da sowas wie mit IOCTL geeignet? Oder was sonst?

AW: Trojaner-Zugriff auf Laufwerk verhindern?
 

Wenn ein Laufwerk gemountet ist und der Nutzer Zugriff darauf hat, dann hat es auch der Trojaner. Dagegen kannst du nichts machen, ohne es viel zu kompliziert für den normalen Anwender zu gestalten.

Halte dich an die 3-2-1-Backup-Regelung und vereinfache es bei deinen Leuten auf 3-2. Also im Prinzip 2 Festplatten im NAS wovon eine freigegeben wird. Die andere hat keinen Kontakt zu den Clients. Wie das Backup dann von der einen auf die andere Platte kommt, ist die andere Frage. Aber das wäre am sichersten für normale Anwender, die auch gerne mal auf alles klicken was im Browser angezeigt wird.

AW: Trojaner-Zugriff auf Laufwerk verhindern?
 

Mir hat diese Anti-Ransomware-Funktion in Windows gereicht. Das ist dass eine Anwendung erst einmal gar keine Dateien auf meiner Platte verändern darf bevor ich sie nicht explizit freischalte (ist standardmäßig in Windows deaktiviert).

AW: Trojaner-Zugriff auf Laufwerk verhindern?
 

Und wenn ein Cryptotrojaner die Container-Dateien verschlüsselt?

Abgesehen davon sind solche Trojaner erstmal ein paar Tage oder sogar Wochen im Hintergrund aktiv, forschen z.B. das System aus, oder loggen Tastendrücke mit und verschlüsseln dann irgendwann meist unbemerkt Dateien. Da nützt dann das dismounten der TrueCrypt-Laufwerke während des Internet-Zugangs auch nichts.

AW: Trojaner-Zugriff auf Laufwerk verhindern?
 

Ja, das mache ich auch. Ist aber nichts für Leute, die nicht wissen, wie sie einer App Ausnahmerechte gewähren. Und fast alle wollen in ...\Documents schreiben, so dass es Fehlermeldungen hagelt. Und wenn ich meine Leute wiedersehe, ist der Desktop knallvoll mit bunten Icons und die Autostarteinträge kann man gar nicht mehr zählen. Man wird ja auch gerufen, weil der Rechner "so langsam" geworden sei...!

AW: Trojaner-Zugriff auf Laufwerk verhindern?
 

Für diesen Fall habe ich alle meine Daten- & Systemsicherungen auf zahlreichen externen Festplatten, die ich wieder einspielen kann. Aber 100%-ige Sicherheit gibt es bekanntlich nicht.
Gruß, Andreas

AW: Trojaner-Zugriff auf Laufwerk verhindern?
 

Für diese User würde ein einfacher Batch (Script) reichen, welcher alle geänderten Files auf einen USB-Stick kopiert.
Gruß, Andreas

AW: Trojaner-Zugriff auf Laufwerk verhindern?
 

Ich habe alle meine Daten auf einer NAS, meine Arbeitsdateien für Delphi (Sourcen) liegen lokal in der VM und werden beim beenden von Delphi jedes Mal (auf Wunsch) synchronisiert.

Die NAS synchronisiert jede Stunde die kompletten Daten auf eine weitere interne Platte sowie alle 12 Stunden auf eine externe Platte (jeweils kein Zugriff vom Rechner). Sollte ein Trojaner die Daten also löschen fehlen mir im worst case 12 Stunden. Ach ja, die externe Platte wechsle ich unregelmäßig auch, die nicht benutzte Platte liegt abgekoppelt im Tresor.

Hört sich nach viel am, läuft aber alle automatisch - bis auf den Wechsel der externen Platte.

AW: Trojaner-Zugriff auf Laufwerk verhindern?
 

RoboCopy reicht mMn völlig für einfache Synchronisationsaufgaben, ggf. als Task ausführen lassen...

AW: Trojaner-Zugriff auf Laufwerk verhindern?
 

Jetzt sind wir bei Backup-Strategien gelandet, aber ich würde gern meine ursprüngliche, programmiertechnische Frage weiterverfolgen.

AW: Trojaner-Zugriff auf Laufwerk verhindern?
 

... wenn sie ihn denn alle paar Tage mal dranstecken und das Script aufrufen. Genau das tun sie aber nicht. (Und zugegebenermaßen würde ich das auch nicht tun, deshalb benutze ich was automatisches.