Artikel top billede

(Foto: Computerworld)

Bekæmp ransomware med snapshots

Ransomware er skrækscenariet for alle virksomheder, for ingen har lyst til at få taget sine data som gidsel og blive afpresset af kriminelle. Men en lille virksomhed kan gardere sig med en NAS og snapshots.

Af Knud Søndergaard, Alt om Data

Denne artikel er oprindeligt bragt på Alt om Data. Computerworld overtog i november 2022 Alt om Data. Du kan læse mere om overtagelsen her.

”A snapshot a day keeps data loss away!” står der på forsiden af en frisk “Guide to Home Data Protection Against Ransomware” fra NAS-specialisterne hos QNAP.

Udtrykket ”snapshot” har længe været brugt inden for foto og kan oversættes til ”øjebliksbillede” – et hurtigt skud fra hoften. I it-verdenen kan ”snapshot” siges at fungere ligesom et foto, fordi det hurtige skud kan registrere en komplet status for et system og dets data. For Windows-brugere kan et snapshot sammenlignes med de genoprettelsespunkter, som man kan – og bør! – oprette, når man foretager større ændringer eller opgraderinger af en pc.

Konceptet går ud på, at hvis noget er gået alvorligt galt, kan man ”bare” vende tilbage til før-situationen og prøve igen. Det samme gælder, hvis en virus lægger et it-system ned, eksempelvis ved at låse og/eller kryptere filerne, så det kræver en digital nøgle at ophæve blokeringen og få adgang til ens data igen. Er man landet i denne rædsomme situation, kan man med en smart NAS gå tilbage til det seneste snapshot af et fungerende system og gendanne de ramte filer.

Backup og snapshot – forskel?

Som bekendt er en backup en sikkerhedskopi af en brugers data. Hvis man for eksempel har 5 TB data, hvad der ikke er usædvanligt i dag, vil hver komplette kopi sluge yderligere 5 TB. Og hvis man tager backup en gang i timen, behøver man en diskkapacitet på 40 – 50 TB til blot en enkelt dags arbejde. Sådan en løsning bliver astronomisk kostbar i hardware og vil kræve alt for mange ressourcer til at være en praktisk mulighed.

Omvendt behøver et snapshot kun indeholde tilstrækkelig information til at annullere en ændring, og dét kræver langt mindre plads end en backup.

I arbejdet med denne artikel har vi eksperimenteret med et drev med 642 GB data i knap 590.000 filer på en næsten ny Windows-pc. Et snapshot af dette drev klares på et øjeblik og fylder en bagatel af lidt over 400 MB. Til sammenligning tager det flere timer for Qnaps NetBak Replicator-app at tage en egentlig sikkerhedskopi af hele drevets indhold og overføre den via en 10G-forbindelse til den store TS-h886 NAS.

Her må det ikke glemmes, at et snapshot ikke er en backup. Man skal starte med en rigtig, komplet sikkerhedskopi, for at snapshot-funktionen har nogle data at arbejde med.

Teknikken bag snapshots

Når man tager et snapshot, kopieres metadataoptagelsen, som registrerer, hvor hver datablok lagres, til snapshottet. Dette optager meget lidt plads, så snapshottet dannes meget hurtigt, efter nogle få sekunder i vores eksempel. Når der derefter sker ændringer i en datablok, skrives den pågældende datablok til en forudbestemt snapshotplads. De aktuelle metadata opdateres, så de også afspejler ændringen. Denne proces kaldes ”Redirect on write”.

Da sådan et snapshot har metadataene, kan det registrere, hvilke datablokke der er blevet tilføjet eller ændret siden oprettelsen af snapshottet. Hvis man vender tilbage til et af sine snapshots, fjernes hver tilføjet eller ændret datablok fra det sted, hvor den er gemt i snapshottet. Derefter er hver datablok, som den var, da snapshottet blev taget. Og da filerne består af data­blokke, er hver fil nu, som den var, da snapshottet blev taget. På denne måde kan man annullere ændringer i filer, mapper og drev – eller redde filer, som er blevet slettet ved et uheld.

Snapshots i praksis

Med andre ord skal snapshot-teknikken kunne gøre filer, som er blevet krypteret af ransomware, læselige igen – uden dataejeren er nødt til at betale løsepenge for at få adgang til sin ejendom. Vi skriver ”skal”, for denne artikels skribent har aldrig været ramt af ransomware, og vi har ikke den store lyst til bevidst at inficere en computer med sådan noget malware.


»Snapshot-teknikken skal kunne gøre filer, som er krypteret af ransomware, læselige.«


Qnap oplyser, at alle deres NAS-servere understøtter snapshots, hvad der skal give dem et forspring på markedet. Tidligere skulle en Qnap-NAS have mindst 4 GB RAM, men nu er 1 GB nok, og så kan alle firmaets aktuelle enheder være med

Når snapshot aktiveres i firmaets QTS- eller QuTS hero-styresystem, afsættes 20 procent af diskenes lagerplads til snapshots, og det skal normalt være nok til 256 øjebliksbilleder. Hvis man tager et snapshot hver time døgnet rundt, går denne del af backup-hukommelsen mere end 10 dage tilbage. Vores TS-h886-reference til denne indsigtsartikel er et monster med en Intel Xeon D-1622-processor med fire kerner plus 16 GB hukommelse i maskinrummet. Det skal give plads til det hele 65.536 snapshots.

Hvis uheldet er ude, og computeren opfører sig underligt, eller et krav om løsepenge dukker op på skærmen, har Qnap en opskrift, der skal kunne redde dagen. Proceduren er beskrevet mere detaljeret i den guide, som er nævnt i indledningen til artiklen. Her følger en kortere forklaring:

Indledningsvis skal man selvfølgelig sørge for, at den inficerede computer ikke har forbindelse til internettet – hverken direkte eller via Wi-Fi. Redningsaktionen kan faktisk gå nemmest, hvis man har en af Qnaps mindre NAS’er til hjemmebrug, for eksempel en økonomisk TS-251B, for den har ud over USB-porte også en HDMI-terminal, så man kan tilslutte mus, tastatur og skærm og betjene NAS’en som den computer, den grundlæggende er. Derefter skal man gå ind under ”Storage & Snapshots” og vælge ”Snapshots” for at se en liste over snapshots i kronologisk rækkefølge. Endelig skal man vælge et snapshot, der er taget før ransomware-angrebet og gendanne det i en ny mappe. Det er det hele. De berørte filer er gendannet og snapshotmappen med de inficerede filer kan slettes.

Flere praktiske tips

For en technørd er en NAS et fascinerende produkt med nærmest uendeligt mange opsætnings- og individualiseringsmuligheder. Derfor kan en NAS også være et fantastisk tidsfordriv, hvis man har tid tilovers i hjemmekontoret – eller er strandet i et sommerhus, mens det danske vejr viser sig fra sin værste side.

I lighed med flere andre NAS-firmaer understøtter Qnap mange sprog, heriblandt dansk, i deres software og skærmmenuer. Qnaps oversættelser er også glimrende, men ikke desto mindre foretrækker vi at holde os til engelsk som arbejdssprog. Det skyldes, at de manualer og onlineguider (tutorials), som vi flittigt støtter os til, kun findes på engelsk. Når – ikke hvis! – vi løber ind i problemer, finder vi det nemmere at copy/paste fejlmeddelelser og anden info på engelsk – og derefter google os frem til egnede løsninger på nettet.

”Hvorfor ikke bare lægge det hele op i skyen?”, sidder nogle læsere sikkert og tænker. Det er da bestemt en mulighed, som vi også udnytter til nogle formål, men prisen pr. terabyte for at opbevare store datalagre i skyen gør det efter vores mening attraktivt at have sin egen sky i form af en NAS, som vi også kan tilgå fra andre steder end kontoret. 

Brug softwaren til at styre processen

Forberedelse: QuTS hero-styresystemet i Qnap TS-h886 er en enorm værktøjskasse. Her er det undermenuen Storage & Snapshots, som bruges til administration af almindelig lagerplads og snapshots.

Skud: Nu har vi taget vores første snapshot. Faktaboksen guider os hen til to under-undermenuer, hvor vi kan se nærmere på det indhold, som kan redde os i tilfælde af ransomware.

Lagring: I dette lag kan vi se, hvad vi har liggende i de fem mapper, som Qnap-NAS’en opretter som standard. I ”Public” har vi foreløbig tre snapshots og i ”homes” er der 12 af slagsen.

Vi benyttede NAS’en QNAP TS-h886 til vores eksperimenter med snapshots. Den har råstyrke, snapshotfunktionalitet, otte drevpladser, et nyt QuTS hero-styresystem og adskillige interne udbygningsmuligheder.