Unveränderbare Snapshots, Sicherheitsfrage

[weyon]

Hallo,
in den neueren NAS Modellen gibt es jetzt ja die unveränderbaren Snapshots. Diese Funktion finde ich klasse, da bei Ransomware Befall diese Snapshots weder gelöscht oder verschlüsselt werden können.
Aber auf 2 Fragen finde ich keine Antworten:

1.
Wie verhält es sich wenn der Virus vollen Admin Zugang zu dem NAS hat (Snapshots lassen sich auch vom Admin nicht löschen, schon getestet), könnten diese aber via SSH vom root gelöscht werden?

2.
Der Virus ändert das Admin Kennwort und deaktiviert den Reset Knopf hinten am NAS, wie kommt man dann wieder an seine Daten? Werden die Snapshots bei einer Neuinstallation von DSM überhaupt korrekt erkannt?

Danke schonmal für die Antworten.

 

[Synchrotron]

Was root darf, weiß nur „Root“ - und vielleicht der Synology Support.

Der Reset Knopf ist m.w. so tief verankert (vermutlich unterhalb DSM, im Geräte-Code), dass er nicht deaktiviert werden kann.

Ist außerdem egal, denn natürlich hast du 2 gute Backups, keines davon auf der DS, eines davon an einem anderen Ort …

 

[weyon]

Doch, der Reset des Admin Passwortes, welche über den Reset Knopf zurückgesetzt werden kann, kann per DSM Oberfläche deaktiviert werden.
Und natürlich hat man mehrere Backups.

 

[Iarn]

Ich würde persönlich nicht darauf vertrauen, dass bei root Kompromittierung DSM noch eine wirksame Barriere ist. Im Zweifel kommt die Schadsoftware mit einer chroot Umgebung "raus" oder attackiert das Filesystem direkt.

Das einzige was dagegen spricht, dass es ziemlich aufwändig ist und die üblichen Ransomwaregroups immer die "low hanging fruits" attackieren und nicht mal eben ein neues chroot für Synology schreiben oder ein alternatives btrfs mit "Zusatzfunktionen". Das wäre eher was für NSO Group und co.