DSM 6.x und darunter Ausspionieren persönlicher Daten durch Synology Hersteller?!

[Falkenfelser]

Okay, dann sag ich. Im Zweifel gegen den Angeklagten. Ist ja eh kein offizielles Forum.

 

[Frogman]

...Wo ist das Problem mit HTTPS?! Solange ich an der richtigen Stelle sitze und dem Client noch ein entsprechendes Zertifikat liefern kann, ist das eine reine Fingerübung..

Eben - und Du scheinst tatsächlich naiv zu sein, wenn Du glaubst, dass jemand, der sensible Daten transportieren will und halbwegs weiß, was er tut, keine Vorkehrungen trifft, um ein zwischengeschobenes Zertifikat eines Proxys zu erkennen...

Naja, und mein Popcorn-Vorrat ist jetzt auch ziemlich aufgebraucht - bleibt auch nix mehr zu sagen angesichts solcher Posts.

 

[helmut72]

Solange ich an der richtigen Stelle sitze und dem Client noch ein entsprechendes Zertifikat liefern kann, ist das eine reine Fingerübung. Langsam wird es wirklich lächerlich - ganz besonders das Geschwurbel von helmut72.

Geschwurbel? Jetzt interessiert mich aber sehr, was Du Dir erhoffst, wenn HTTPS aufgebrochen ist.

 

[AtomicOne]

Ehrlich gesagt ist es mir immer wieder ein Rätsel warum man sich nach spätestens 30 Seiten nur noch gegenseitig angiftet ...

Ich habe noch nie versucht in HTTPS Pakete zu schauen in dem man einen Proxy zwischen schaltet.
Die die dies mit Häme abtuen haben auch noch nicht gesagt, "Habe ich bereits versucht, geht nicht".
Allerdings liefert der der sagt es geht auch keine konkreten Infos WIE er es sich vorstellt.

Vielleicht könnte man mal auf die Sachebene zurück kehren !?
Mich interessiert die Thematik nämlich tatsächlich sehr.
Und zwar einfach nur in der Sache, nicht um jemandem etwas beweisen zu müssen ...

Und, "HTTPS aufbrechen" ... Wer sagt denn dass es überhaupt HTTPS ist ?
Vielleicht ja auch SSH, FTP, oder sogar ein komplett selbst entwickeltes Protokoll.
Für all diese technischen Hintergründe fehlen bislang die Belege (pcap-file).

Hat schon jemand herausfinden können welche Prozesse diese Pakete verschicken ?

Ich finde es gibt noch genug Dinge die man tatsächlich mal untersuchen könnte.
Anstatt sich zu zerfleischen.

Wenn es verschlüsselt ist, dann eben wie vorgeschlagen, versuchen das Zertifikat "unterschieben".
Es zumindest mal versuchen ....
Danach in die Pakete gucken ob man etwas erkennen kann.
Ein Muster, Infos im Klartext oder sonst irgendetwas.
Versuchen zuzuordnen welche Pakete kommen von welchem Prozess.

Ich stünde für weitere Untersuchungen bereit.
Falls jemand Lust hat sich daran zu beteiligen kann er sich gerne bei mir melden.
Denn dieser Thread wird jetzt wohl leider tot sein wird dank der spöttischen Bemerkungen.

 

[night2day]

Mal eine dumme Frage an jemanden, der sich mit ssl auskennt. Wenn sich die DS mit Syno über ein SSL unterhält, muss ja entweder Syno oder die DS ein Zertifikat haben das der jeweils andere akzeptiert. Ich vermute mal stark das die DS ein Syno Zertifikat akzeptiert. Wenn man nun in der DS das vertrauen für das Zertifikat enziehen könnte, wäre eine verschlüsselte kommunikation doch unmöglich. Damit könnte man doch entweder die Kommunikation selbst unterbinden, oder erzwingen, das auf unverschlüsselte Komunikation zrückgegriffen wrid. Diese könnte man ja dan per Wireshark auswerten. Ich bin kein Netzwerker, aber noch haben wir auf die DSen rootzugriff und es sollte doch nicht unmöglich sein die Quasselstrippe zum schweigen zu bringen.

Gruß
n2d

 

[AtomicOne]

Mal eine dumme Frage an jemanden, der sich mit ssl auskennt. Wenn sich die DS mit Syno über ein SSL unterhält, muss ja entweder Syno oder die DS ein Zertifikat haben das der jeweils andere akzeptiert. Ich vermute mal stark das die DS ein Syno Zertifikat akzeptiert. Wenn man nun in der DS das vertrauen für das Zertifikat enziehen könnte, wäre eine verschlüsselte kommunikation doch unmöglich. Damit könnte man doch entweder die Kommunikation selbst unterbinden, oder erzwingen, das auf unverschlüsselte Komunikation zrückgegriffen wrid. Diese könnte man ja dan per Wireshark auswerten. Ich bin kein Netzwerker, aber noch haben wir auf die DSen rootzugriff und es sollte doch nicht unmöglich sein die Quasselstrippe zum schweigen zu bringen.

Gruß
n2d

Soooooo

Das ist doch mal ein Ansatz.
So hatte ich mir das vorgestellt.
Heute habe ich allerdings leider keine Zeit um das zu untersuchen.
Kennt jemand eine gute Möglichkeit die ganzen Infos zu sammeln, zu ordnen und zu strukturieren um sie der Reihe nach abzuarbeiten ?
Etwas wie Google Docs z.B. (muss aber nicht unbedingt von Google sein ...)

 

[Frogman]

Ja, dann gründen wir mal erst einmal einen Arbeitskreis...
@AtomicOne
Sorry, ich habe nie von https geschrieben, sondern von Verschlüsselung und Zertifikaten (auch SSH nutzt so etwas ). Und ich tue dabei auch nichts mit Häme ab.
Du kannst gerne testen, ein Zertifikat "unterzuschieben" - wenn Du denn weißt, worunter! Melde Dich, wenn Du Du dann Zeit hast und soweit bist. Von "man" zu schreiben und was "man alles könnte", ist jedenfalls hinreichend unkonkret.

@night2day
Ein Serverzertifikat der Gegenseite zu blockieren ist nicht trivial, wenn Du es nicht kennst - und das hilft nur dann, wenn es tatsächlich einen Handshake gibt. Wenn auf der DS einfach mit einem Schlüssel, der hardgecoded in irgendeinem Tool steckt, etwas an einen Server verschlüsselt verschickt wird, dann kannst Du da nix sperren.

 

[AtomicOne]

Und ich tue dabei auch nichts mit Häme ab.

Sagte er und fügte mit überheblichem Unterton hinzu ...

Ja, dann gründen wir mal erst einmal einen Arbeitskreis...

Vielleicht merkst du selbst dass in deiner Argumentation etwas nicht ganz stimmig ist. Und deine Formulierungen etwas arrogant wirken.

Du hältst nichts davon, ok, habe ich verstanden.
Dann halte dich doch einfach zurück.

Sorry, ich habe nie von https geschrieben, sondern von Verschlüsselung und Zertifikaten (auch SSH nutzt so etwas ).

Wer sagt das ich von dir gesprochen hatte ?
Irgendjemand hatte aber HTTPS erwähnt, warum DU dich da angesprochen fühlst ...
Im Übrigen weiß ich sehr gut wie SSH funktioniert.

Wenn auf der DS einfach mit einem Schlüssel, der hardgecoded in irgendeinem Tool steckt, etwas an einen Server verschlüsselt verschickt wird, dann kannst Du da nix sperren.

Du redest im Konjunktiv. Ich nehme also daher an, dass du es selbst nicht weißt ob irgendwo irgendwelche Schlüssel "hardcoded" sind.
Wer ist denn hier nun "hinreichend unkonkret"?

 

[Frogman]

Wenn etwas nicht ganz stimmig ist, dann in Deinen Äußerungen. Allein der Gedanke, Google Docs in Betracht zu ziehen, der Herberge des Datensammlers schlechthin.
Nun ja, mach mal, "so wie Du es Dir vorstellst"... Ich für meinen Teil weiß jedenfalls genug Konkretes - und habe daraus meine Schlüsse gezogen.

PS: Und wann und wo ich mich zurückhalte, musst Du schon mir überlassen.

 

[AtomicOne]

Allein der Gedanke, Google Docs in Betracht zu ziehen

Da hast du meinen Beitrag aber leider nicht sehr genau gelesen ...
Ich hatte explizit Google Docs NICHT in Betracht gezogen.
Ich sagte "so etwas WIE Google Docs".

Ich für meinen Teil weiß jedenfalls genug Konkretes

Herzlichen Glückwunsch dazu.

Und wann und wo ich mich zurückhalte, musst Du schon mir überlassen.

Das war auch eher ein Ratschlag.

Klar, man kann zu allem etwas sagen.
Aber man MUSS es nicht.
Die Frage ist halt immer, "will und kann ich etwas zum Sachverhalt beitragen und kann ich meine Argumentation sachlich begründen, oder ist das nicht der Fall?"


Ich gratuliere dir, du hast es endgültig geschafft diesen Faden komplett zu "Ver-Trollen" und jegliche Sachlichkeit zu zerschlagen !
Mir wird es dann jetzt doch zu doof ...

 

[Frogman]

Da hast du meinen Beitrag aber leider nicht sehr genau gelesen ...
Ich hatte explizit Google Docs NICHT in Betracht gezogen.
Ich sagte "so etwas WIE Google Docs".

Ich gratuliere dir, du hast es endgültig geschafft diesen Faden komplett zu "Ver-Trollen" und jegliche Sachlichkeit zu zerschlagen !
...

Wie war das noch gleich?

...
Etwas wie Google Docs z.B. (muss aber nicht unbedingt von Google sein ...)

War aber klar, dass Du bei Deinen eigenen Aussagen so schwammig bleibst .

Ich warte dann mal, bis Du etwas zur Sachlichkeit beiträgst, wenn Du dann mal Zeit hast und die Ergebnisse Deiner Untersuchung der übermittelten Daten mitteilst.

 

[AndiHeitzer]

Ich würde nun gerne eine Tüte Popcorn spendieren

 

[JudgeDredd]

Kannst Du ja per Post zuschicken. Adressaten bekommst Du von Synology

 

[rednag]

JudgeDredd macht einfach ein paar pfSense-Geräte fertig und verschickt die. Damit kann man auch schön sperren.

 

[Iarn]

Ich würde nun gerne eine Tüte Popcorn spendieren

Wenn man inhaltlich nichts zu sagen hat.

PS die Popcorn Bemerkung wurde auch nicht von Dir das erste Mal im Thema verwendet, ggf mal zum Neurologen gehen und auf Demenz untersuchen lassen?

Ansonsten man kann jedes Thema mit Popcorn! Spam zugrunde richten.

 

[AtomicOne]

War aber klar, dass Du bei Deinen eigenen Aussagen so schwammig bleibst

Da hast du aber hübsch die (für dich) passende Stelle fett hervorgehoben.
Der Nebensatz in der Klammer war übrigens eine Überspitzung die darstellen sollte was ich von Google halte.
Auf den Hauptsatz kommt es an, und der bringt zu Ausdruck dass ich von Google rein gar nichts halte.

Ich warte dann mal, bis Du etwas zur Sachlichkeit beiträgst, wenn Du dann mal Zeit hast und die Ergebnisse Deiner Untersuchung der übermittelten Daten mitteilst.

Da kannst du lange warten.
Mit Menschen wie dir werde ich meine Erkenntnisse sicher nicht teilen.

 

[amarthius]

Bitte wieder back to topic und die Beschimpfungen sein lassen.. Genießt lieber das schöne Wetter.

 

[AndiHeitzer]

PS die Popcorn Bemerkung wurde auch nicht von Dir das erste Mal im Thema verwendet, ggf mal zum Neurologen gehen und auf Demenz untersuchen lassen?

Vielen Dank für den inhaltlich wertvollen Beitrag

Ansonsten man kann jedes Thema mit Popcorn! Spam zugrunde richten.

Dazu brauche ich nicht das Popcorn in den Ring werfen.
Es ist wunderschön zu beobachten, wie das hier ganz ohne Popcorn funktioniert

 

[jahlives]

...und ich dachte, ich wäre in einem Fachforum. Wo ist das Problem mit HTTPS?! Solange ich an der richtigen Stelle sitze und dem Client noch ein entsprechendes Zertifikat liefern kann, ist das eine reine Fingerübung. Langsam wird es wirklich lächerlich - ganz besonders das Geschwurbel von helmut72.

es gibt nur zwei Stellen wo man ein Cert einschieben könnte: auf der Client Seite (Du) oder auf der Serverseite (Synology). Syno muss kein Cert unterschieben, denn Sie haben ja Zugriff auf die Daten nach der (https) Entschlüsselung. Auf deiner Seite könnte es natürlich sein, dass dir z.B. dein Provider einen Zwangsproxy mit einem solchen Cert unterschiebt. Solange das Cert von einer offiziellen CA unterschrieben ist, wird es recht schwierig für dich das erkennen zu können. Ausser du kontrollierst jedesmal die ausstellende CA.
Wenn du aber deinem Provider nicht traust hast du imho ganz andere Probleme als der Datenschutz von Syno

 

[peterhoffmann]

---

Unser Eigentum (Daten) soll sicher und ohne fremden Zugriff sein.​

Ich nehme an, dass wir das alle so in der Art und Richtung wollen.
Dann lasst uns doch daran arbeiten.​

---

Es nutzt nur Synology, wenn wir uns hier verzetteln, streiten und unnötige Nebenkriegsschauplätze eröffnen. Solange wir uns mit uns selber beschäftigen, ist Synology sauber aus der Diskussion raus und der Thread verwässert. Eins ist auch in der ganzen Diskussion zu bedenken: Synology distanziert sich zwar vom Forum. Nichts desto Trotz werden hier auch Mitarbeiter von Synology mitlesen und mitschreiben.

Lasst uns nicht gegeneinander, sondern miteinander arbeiten. Akzeptiert dem anderen seine Meinung, sie muss nicht richtig sein, genauso wenig wie die eigene Meinung.

---

Mir fallen im Moment zwei Wege ein, die wir vorerst (gleichzeitig) beschreiten können.

Weg 1, der technische Weg:
Analyse was die DS worüber und wann sendet und empfängt.
Wer kann dies umsetzen, wer ist dazu in der Lage?

Weg 2, Kontaktaufnahme / Fragekatalog an Synology:
Aufstellung eines klaren Fragekatalogs, der an Synology geschickt wird
Da dieser Vorschlag im Thread schon gemacht wurde: Hat jemand sich damit schon beschäftigt und kann eine Grundlage liefern?

Erst im Anschluss, je nach Daten- und Ergebnislage aus den beiden Wegen, sowie Reaktion von Synology, sind weitere Vorgehensweisen, z.B. Verbraucherzentrale, Infos an die Presse (Heise und Konsorten), Reszensionen, etc. möglich. Vielleicht löst sich auch alles in Wohlgefallen auf und der Thread endet mit einer sauberen positiven Aufklärung. Egal wie, in allen Fällen ist uns allen geholfen. Lasst uns zusammen (daran) arbeiten.