In Bezug auf Ransomware-Sicherheit wird als wichtiges Instrument immer von der "unveränderbaren Speicherung" der Backup-Images gesprochen. Aber Commvault hat doch WORM-Funktionalitäten, oder? Die Dokumentation spricht von zwei verschiedenen Typen von WORM – einem „Storage Lock“ und dem „Compliance Lock“. Bei Storage Lock handelt es sich um echtes WORM, welches vom angebundenen Storage unterstützt wird. Auch wenn HyperScale X diese Funktionalität anbietet, so kann man dieses Problem als root – und root Zugriff ist ja einfach zu erlangen (siehe Thema dort) – jederzeit umgehen. HyperScale X basiert auf einem ganz normalen Red Hat Linux – und root kann durch viele verschiedene Wege ein Linux System zerstören. Der einfachste wäre sicherlich das Abschalten von SELinux (setenforce 0) gefolgt von einem löschen aller Disk Partitionen mit fdisk.

Doch wie genau funktioniert jetzt das „Compliance Lock“ – Die Dokumentation (https://documentation.commvault.com/2023...iance_lock.html ) beschreibt dies wie folgt:



Also wird in der Commvault Software verhindert, dass ein Admin die Retention eines Jobs reduzieren oder den Job löschen kann. Klingt zunächst nach einer guten Lösung, aber wenn man ein wenig durch die Community von Commvault stöbert ( https://community.commvault.com/commvaul...-dr-policy-2472 ) dann findet man heraus, dass der Support durchaus dazu in der Lage ist, eine WORM Kopie auch wieder abzuschalten. Natürlich wird hierfür zwar ein entsprechender Authentication Code benötigt, aber ein Angreifer könnte genug über die Commvault Software wissen um diesen selbst zu erzeugen.

Bei einem Veritas WORM Container kann nicht mal der Support eine Abschaltung des WORMs durchführen – dies ist also deutlich sicherer.