Unveränderbare Snapshots, Sicherheitsfrage

weyon

Benutzer
Mitglied seit
17. Apr 2017
Beiträge
697
Punkte für Reaktionen
91
Punkte
48
Hallo,
in den neueren NAS Modellen gibt es jetzt ja die unveränderbaren Snapshots. Diese Funktion finde ich klasse, da bei Ransomware Befall diese Snapshots weder gelöscht oder verschlüsselt werden können.
Aber auf 2 Fragen finde ich keine Antworten:

1.
Wie verhält es sich wenn der Virus vollen Admin Zugang zu dem NAS hat (Snapshots lassen sich auch vom Admin nicht löschen, schon getestet), könnten diese aber via SSH vom root gelöscht werden?

2.
Der Virus ändert das Admin Kennwort und deaktiviert den Reset Knopf hinten am NAS, wie kommt man dann wieder an seine Daten? Werden die Snapshots bei einer Neuinstallation von DSM überhaupt korrekt erkannt?

Danke schonmal für die Antworten.
 

Synchrotron

Benutzer
Sehr erfahren
Mitglied seit
13. Jul 2019
Beiträge
5.132
Punkte für Reaktionen
2.091
Punkte
259
Was root darf, weiß nur „Root“ - und vielleicht der Synology Support.

Der Reset Knopf ist m.w. so tief verankert (vermutlich unterhalb DSM, im Geräte-Code), dass er nicht deaktiviert werden kann.

Ist außerdem egal, denn natürlich hast du 2 gute Backups, keines davon auf der DS, eines davon an einem anderen Ort …
 
  • Like
Reaktionen: Ronny1978

weyon

Benutzer
Mitglied seit
17. Apr 2017
Beiträge
697
Punkte für Reaktionen
91
Punkte
48
Doch, der Reset des Admin Passwortes, welche über den Reset Knopf zurückgesetzt werden kann, kann per DSM Oberfläche deaktiviert werden.
Und natürlich hat man mehrere Backups.
 
  • Like
Reaktionen: Synchrotron

Iarn

Benutzer
Sehr erfahren
Mitglied seit
16. Jun 2012
Beiträge
3.019
Punkte für Reaktionen
429
Punkte
149
Ich würde persönlich nicht darauf vertrauen, dass bei root Kompromittierung DSM noch eine wirksame Barriere ist. Im Zweifel kommt die Schadsoftware mit einer chroot Umgebung "raus" oder attackiert das Filesystem direkt.

Das einzige was dagegen spricht, dass es ziemlich aufwändig ist und die üblichen Ransomwaregroups immer die "low hanging fruits" attackieren und nicht mal eben ein neues chroot für Synology schreiben oder ein alternatives btrfs mit "Zusatzfunktionen". Das wäre eher was für NSO Group und co.
 


 

Kaffeautomat

Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.

Als Dankeschön schalten wir deinen Account werbefrei.

:coffee:

Hier gehts zum Kaffeeautomat