Hur säker är en NAS server mot attacker som Wannacry/Wannacrypto?

Om det är konfigurerat rätt och du inga konto kan skriva till den så nej, då kan den inte kryptera något.
Jag kör t.ex Veeam Endpoint Backup där den backar till en utdelning på NASet som bara det kontot har tillgång till.

Sedan är det ju inte fel att ha en offsite-kopia heller samt även en offline-kopia. Dvs en som du manuellt kopierar ut på t.ex en extern disk och lägger i ett bankfack eller på någon annan säker plats.

Det viktiga är att ha versionshantering så man kan återskapa äldre versioner av filer innan de krypterades. Exempelvis om din NAS kör automatiska snapshots som blir read only så kan ju inget ändra på dessa filerna (såvida inte viruset for root-access inuti din NAS). Själv kör jag ZFS på min filserver med automatiska snapshots. Dessutom kör jag backuper mot crashplan och de har också viss versionshantering (dock inte allt för långt bak i tiden).

För att göra det riktigt read only bör man typ bränna ut det på bluray-skivor eller band och lägga undan någonstans. Eller externa hårddiskar som man kopplar ur efter backup. Alltså offline lagring.

Ingen backup som är inkoppla elektrisk är säker så en nas som är ansluten till en dator som har skrivrättigheter skyddar inte mot kryptovirus.
Man ska ha minst 2 oberoende backupper så man bara har en i taget som är i kontakt med datorn och elnätet vid ett givet tillfälle och övrig tid ska de vara helkt losskopplade från alla elektriska anslutningar för att inte riskera att skadas överspänningar (tex åska) när de inte används.
Man bör även ha en backup på en helt annan plats för att skydda mot brand och annat som kan drabba huset.
En vanligt inkopplad nas är alltså inte säkrare än en intern hårddisk, den kan däremot öka bekvämligheten men den bör backupas på oberoende diskar som man kopplar bort när de inte används och de viktigaste sakerna bör man även ha en backup till på som förvaras på en helt annan plats.

En väldigt intressant tråd tycket jag. Jag skapade en tråd om en liknande frågeställning i lagrings-delen av forumet tidigare idag.

Det känns som om det är en balansgång mellan enkelt att hantera och hög säkerhet. Man vill så klart ha ett enkelt och säkert system.

Om du har en konstant uppkopplad NAS råder samma rekommendationer oavsett OS, se till att ha den uppdaterad med de senaste patcharna så minskar du risken betydligt för att drabbas av liknande attacker.
För klienter gäller i princip samma rekommendation, se till att alltid köra stabila, supportade utgåvor med de senaste OS-uppdateringarna så minskar du möjligheten att utsättas för exempelvis Wannacry attacker betydligt.
Utöver att hålla systemen uppdaterade kan man utföra en mängd andra åtgärder för att höja säkerhetesnivån för operativsystemet sett till scenariot det används till.

Med det sagt finns det ju virustyper av kategorin "time-bombs" som kan ligga oaktiva och som utlöses vid en viss tidpunkt eller av ett kriterie, detta gör att de kan förbli oupptäckta under en längre tid samt nästla sig in i backuper som tas regelbundet och annat.

Det viktiga är att låta backupprogrammet köra som en tjänst, lägga upp ett eget konto för tjänsten i datorn och NASet och att endast låta detta kontot få skrivrättigheter på NASet.

En tanke jag fick är om man låter NASen hämta filerna från datorn istället för att datorn skickar upp till NASen. Då blir NAS säkrare mot intrång men å andra sidan blir datorn osäkrare eftersom den får en ingång. Men om filerna bara delas ut med läsrättigheter från datorn?

Viruset krypterar förstås filerna i datorn och så småningom hämtas krypterade filer till NAS men med versionshanteringssystemet går det då att backa tillbaka i tiden till innan filerna smittades. Kanske kan man checksummekolla sina filer och behålla alla versioner av filerna med olika checksummor (då har man koll på att innehållet ändrats och man sparar alla ändringar).