Come recuperare i dati da NAS SYNOLOGY inizializzato o formattato

I NAS Synology sono molto diffusi nelle piccole imprese, in quanto offrono buone prestazioni a prezzi contenuti.
Dal punto di vista di eleganza tecnica e orientamento alle funzioni enterprise possono perdere qualche colpo rispetto il colosso QNAP, ma potrebbero sorprenderci in caso di disastro o attacco hacker.

Implementazione di un file System atipico, BTRFS 

Il file system configurato sui dischi installati nel SYNOLOGY è addirittura considerato "IMMATURO" o comunque non è arrivato ad una release consolidata definitiva.

BTRFS implementa concetti moderni di btree e commit on write ( COW ). I dati non vengono posizionati come negli altri file system posix ma utilizza un sistema di Tree Roots e Subvolumi con features integrate di deduplicazione.

E' stato concepito per il futuro, quando le aziende dovranno scalare orizzontalmente le proprie piattaforme ed espandere i propri storage.
BTRFS nonostante non abbia raccolto grande consenso e non viene ancora ritenuto affidabile, viene regolarmente installato su NAS SYNOLOGY e NETGEAR. Scelta discutibile ? Forse ma Le features di questo File System potrebbero letteralmente salvarvi la Vita.

Formattazione ed inizializzazione del NAS SYNOLOGY

Essendo un file system basato su subvolumi, la formattazione della partizione, eseguita intenzionalmente o per errore, azzera semplicemente i nodi principali lasciando intatti i livelli inferiori.

Possiamo paragonare la formattazione di un NAS Synology a quella veloce di Windows. Come sappiamo puo' essere risolta con efficacia anche da software per il recupero dati gratuito.

Disk Layout e RAID nei NAS Synology

Un tipico layout per SYNOLOGY è RAID 5 su 3 unità disco e il backup integrato su volume dedicato sul Disco 4.

Benchè lo spazio disponibile possa essere inferiore a quello fisico dei drive, questa configurazione offre la sicurezza della ridondanza dei RAID 5 ed un ulteriore posizione per la deduplicazione Hyper Backup dei dati posizionata sul drive singolo.

Analisi tecnica di Synology Hyper Backup

Analizzando il sistema offerto da Synology per eseguire i backup integrati, è facile notare che è stato realizzato con database sql lite e stream binari a mappatura statica.

In una partizione dedicata, il sistema produce un backup basato su database statici e cartelle contenenti copie dei file originali in formato stream della partizione dati principale. 

La struttura del backup risulta essere molto complessa in quanto è stato concepito per gestire versioning e deduplicazione integrata ma risulta essere critico strutturalmente. La semplice corruzione di uno dei database contenente i puntatori agli stream file e il Vostro backup risulterà essere completamente inutilizzabile.

Attacchi Hacker su NAS SYNOLOGY

I NAS SYNOLOGY sono vulnerabili al classico attacco hacker basato su ransomware che cripta i dati contenuti nelle condivisioni, come qualsiasi altro sistema di archiviazione di rete, oltre diverse CVE molto gravi che consentono all'attaccante una escalation di privilegi direttamente sul sistema operativo del NAS ed eseguire comandi di sistema interni, come quello di eliminare il RAID, i Volumi o resettare le partizioni.

Recupero di dati in seguito a ransomware encryption sulle condivisioni di rete

Gli attacchi hacker che avvengono sui client Windows possono colpire unità di rete collegate al sistema operativo dove si abbiamo permessi di scrittura.Benchè da molti anni esista un sistema di protezione delle condivisioni SAMBA basato su auditing tali funzioni sono raramente implementate.

Un processo di cifratura dei file e cartelle non puo' essere interrotto dal sistema operativo del SYNOLOGY, in quanto letture e scritture potrebbero essere considerate in un contesto di operatività legittima.

Nonostante il NAS possa risultare vulnerabile ad un attacco sulle share di rete, le features di deduplicazione, snapshot ed il backup locale possono risultare efficaci per il restore dei dati senza ovviamemente pagare alcun riscatto alle organizzazioni criminali.

Tali funzioni non sono presenti sui QNAP, dove oltre i virtuosismi dei volumi TIER e THIN non esistono features integrate per proteggersi da attacchi ransomware o partizioni "HIDDEN" dedicate ai backup.

Casi reali: Inizializzazione errata del volume del NAS SYNOLOGY prodotta dall'utente

In un caso reale, in un NAS Synology con modalità RAID 1 il cliente ha inizializzato per errore il volume e naturalmente, connettendosi alle condivisioni di rete nessun file salvato nel nas risultava essere visibile e disponibile.

In un caso di inizializzazione errata, il processo di recovery prevede necessariamente la messa in sicurezza dello scenario dati creando una immagine della partizione originaria per poi analizzarla in offline con sistemi di analisi specializzati per il file system del synology.

Un volume inizializzato come indicato precedentemente ha grandi possibilità di essere recuperato, in quanto l'inizializzazione del Volume prevede la sola creazione di un nodo principale e non interessa i Subvolumi presenti sulla istanza di file system precedente.

Tale caratteristica del Synology ha consentito il recovery integrale dei dati contenuti nel volume prima della Formattazione. 

Casi reali: Inizializzazione del volume del NAS eseguita durante un attacco Hacker

Sono note diverse CVE ( common vulnerabilities ) per i NAS Synology con severità gravi, e sono stati riscontrati diversi attacchi a questi NAS nei quali l'attaccante è riuscito ad ottenere un accesso privilegiato al sistema.

In questi casi abbiamo notato sia azioni di formattazione del Volume Principale che cancellazione della partizione dedicata al backup.

Esattamente come nei casi di inizializzazione del Volume commessa per errore è possibile recuperare i metadati dei volumi cancellati ed ottenere l'accesso ai file ancora integri.  

Nei casi in cui si fosse verificata una formattazione più profonda, wiping o shredding è comunque possibile operare  sulla partizione utilizzatada Hyper Backup per il restore dei dati.

Conclusioni e Valutazioni Finali

I NAS Synology, meno blasonati dei QNAP, implementano BTRFS come file system, distinguendosi dagli altri produttori.
Tale scelta che a primo contatto potrebbe risultare discutibile, essendo BTRFS non ancora completamente stabile, è sorprendentemente vantaggiosa in caso di disastro, errori umani o attacchi Hacker.
La tipologia di memorizzazione dati, dinamica e basata su binary trees e volumi delocalizzati puo' aiutare uno specialista ad ottenere risultati di recovery anche in casi disperati.