DSM 6.x und darunter Ausspionieren persönlicher Daten durch Synology Hersteller?!

[Iarn]

Dann frage ich Dich, wieso Synology die Nutzerbedingungen so geändert hat, dass dies nun möglich ist.

Ich denke, es hat nicht mit Aluhut zu tun, wenn man hinterfragt, wieso eine solche Änderung durchgeführt wurde. Ich halte es für relativ unwahrscheinlich, dass dies ein reiner Zufall ist.

 

[Puppetmaster]

Meiner bescheidenen Meinung nach sind die (originalen) AGB sehr unkonkret, die deutsche Übersetzung einfach nur grottenschlecht.
Ist mir letztlich aber auch egal, was in den AGB steht, denn hier kann ich auch nur darauf vertrauen, dass eingehalten wird, was dort steht.
Im Endeffekt frage ich also einfach nur, was konkret bisher passiert ist, das auch jemand belegen kann.

 

[daaaani]

Vertrauen und belegen in einem Post und dann noch fragen was passiert ist?

Manch einer versteht halt schwer. Passiert ist, ganz konkret, und das lässt sich auch belegen, dass die AGBs so geändert wurden sind, dass sie das Vertrauen einiger zerstören oder einschränken. Deiner Meinung aller Ehren sei der Hinweis, dass es deine ist! Vertrauen und Misstrauen ist etwas, was in der Regel vor der Beweisbarkeit, vorhandenen Fakten oder aus Mangel dessen entsteht. Das ist das Prinzip dieser Konzepte! Rational normale Menschen halten es mit vertrauen eben so, als das es erst aufgebaut werden muss, aus Mangel von Belegen eben langwierig durch Erfahrung. Und in der Regel dann blitzschnell wieder zerstört werden kann.

Beweise ist also etwas für Rechtsprechung und Gerichtsbarkeit. Weder hat es was mit Gerechtigkeit, richtig und falsch noch einer öffentlichen Diskussion zu tun, und schon garnichts mit Vertrauen. Denn eine Diskussion darf nicht erst dann statt finden wenn Belege vor liegen, sondern kann gerade aus mangel dessen geführt werden. Und wie auch in anderen Diskussionen, sollte man wenn man nach Belegen verlangt, gerade selber welche für die Gegenseite vorlegen können. Schon aus Prinzip sind Belege oder Fakten keine Einbahnstraße! Kann man nicht beweisen, dass Kochendes Wasser kalt ist, dann zumindest, dass es das Gegenteil ist. Kann man beides nicht, spekuliert man halt!

 

[Puppetmaster]

Danke für diesen alles erhellenden Kommentar.

Von manch einem hatte ich aber auch nichts Anderes erwartet.

 

[heavy]

Wobei ja kochendes Wasser durchaus kalt sein kann. Ich kann dir das dann sogar beweisen dass ein Ei auch nach 30 Minuten in kochendem Wasser immernoch nicht hart ist.

 

[peterhoffmann]

ein Ei auch nach 30 Minuten in kochendem Wasser immernoch nicht hart ist.

Nur dafür auf über 7.000m zu kraxeln wäre mir aber zu anstrengend.

---

Nachtrag:
https://www.zdf.de/wissen/terra-xpress/eierkochen-auf-dem-mount-everest-100.html

 

[Iarn]

Auch wenn ich dem unbekannten Mann, der gerade eine Sturmhaube überzieht und und am Gürtel ein Brecheisen und einen Seitenschneider befestigt hat, nichts nachweisen kann, würde ich ihm kaum die Schlüssel meines Hauses geben.

Ähnlich sehe ich das mit Synology und meinen Daten. Ich tue mir eh schwer, Firmen außerhalb Deutschlands oder Europas zu trauen, wieso sollte ich nach diesen AGB Änderungen dieser Firma trauen. Meiner Meinung nach ist bei Vertrauen im Gegensatz zu einem Strafverfahren keine Unschuldsvermutung angebracht, im Gegenteil Vertrauen muss man sich verdienen.

 

[Puppetmaster]

Was mich nur wundert: glaubt hier tatsächlich wer, den maskierten Mann anhand seiner Visitenkarte oder AGB zu erkennen?
Änderung hin oder her, darauf möchte doch niemand ernsthaft sein Vertrauen aufbauen. Donald Trump sagt auch immer nur die Wahrheit, genauso wie Bill Clinton und viele andere weniger prominente Vertreter vor ihm.
Dienste wie z.B. quickconnect haben schon immer den gesamten Traffic über Synologys Server in Asien geleitet, und jetzt regt sich plötzlich jemand wegen des Chats auf...

 

[thk_ms]

Nochmal fritzbox Piorisierungslisten

Es genügt den Port 587 freizugeben bzw. alle anderen zu sperren.

In der Fritzbox Internet-Filter-Listen-Netzwerkanwendungen-Nezwerkanwendung hinzufügen
Netzwerkanwendung Namen geben z.B. NurMailen

Neues Protokoll bzw. 3 neue Protokolle für diese Anwendung definieren

Protokoll Quellport Zielport
TCP beliebig 1-586
TCP beliebig 588-65535
UDP beliebig beliebig

Dann ein neues Zugangsprofil anlegen und diesem die o.g. Netzwerkanwendung zuweisen, damit alle Ports bis auf 587 gesperrt sind.

Hallo miteinander,

ich hatte es schon öfters in diesem Thread angesprochen, leider keine Antwort erhalten. Wenn ich entsprechende Regeln erstelle, mit den nötigen Unterbrechungen, funktioniert bei mir kein Fernzugriff mehr. So z.B. Webdav über Port 5099 (DS File). Scheint logisch; aber wenn ich dann zusätzlich Port 5099 in den in den Regeln ausspare sollte doch ein Kommunikation per Webdav möglich sein. Tuts aber leider nicht,...

Wer weiss Rat?

LG, thk_ms

 

[SaschaR]

Das funktioniert nicht, weil es nicht funktionieren kann. Der Rückweg fehlt... Erklärung dazu findest du z.B. hier: http://www.rvs.uni-bielefeld.de/~heiko/tcpip/tcpip_html_alt/kap_2_4.html

 

[thk_ms]

Funktioniert nicht,...

Moin, moin,...

ich bin da kein insider aber von der Transportschicht habe ich schon mal gehört,.. In dem Link scheint mir der Teil dynamische Portnummern für mein Problem relevant zu sein. Deshalb habe im Regelwerk die Dynamischen Portnummern ab 49152 freigegeben.

Nun geht immerhin der Fernzugriff über https aber der Fernzugriff per Web Dav scheint weiterhin Ports abseits von WebDav-Port und den dynamische Ports zu verlangen.

Da wäre jetzt wohl ein Datenmitschnitt per Fritzbox nötig um weiteres heraus zu finden!?

LG, thk_ms

 

[SaschaR]

Probiere mal alles ab 32768 zu erlauben. Das ist aber auch absurd, weil du damit der Box doch wieder Zugriff gewährst...

 

[thk_ms]

Wireshark,...

Guten Abend miteinander,

ich habe jetzt einmal den Netzwerkmitschnitt per Fritzbox gemacht und mir mit Wireshark angeschaut. Zum Test habe ich einen Fernzugriff mit DS Photo versucht. Es gibt immer 4 bis 5 Ports die mit dem regulären Photostationport kommunizieren. @SaschaR: Es sind auch Ports unter 32768. Leider sind es pro Einwahl immer andere Ports!
Es nutzt also nichts die einmal aufgezeichneten Ports in die Ausnahme zu nehmen ,... :-(

LG, thk_ms

 

[Mante]

Hallo miteinander,

ich hatte es schon öfters in diesem Thread angesprochen, leider keine Antwort erhalten. Wenn ich entsprechende Regeln erstelle, mit den nötigen Unterbrechungen, funktioniert bei mir kein Fernzugriff mehr. So z.B. Webdav über Port 5099 (DS File). Scheint logisch; aber wenn ich dann zusätzlich Port 5099 in den in den Regeln ausspare sollte doch ein Kommunikation per Webdav möglich sein. Tuts aber leider nicht,...

Wer weiss Rat?

LG, thk_ms

Mein Beispiel mit Port 587 bezog sich nur auf das Versenden von E-Mails (Notifications, Surveillance Station etc.) durch die Synology. Damit wird jedes weitere "Nach Haus telefonieren" der Synology verbunden.

Wenn weitere Anwendungen wie Fernwartung, Cloud, Webdav etc. bei den Priorisierungen hinzukommen funktioniert dies nicht mehr so wie gewünscht.

Wenn z.B. die Regel so erstellt wird, dass auch die Fernwartung funktioniert, telefoniert die Synology auch unabhängig von der Fernwartung wieder nach Hause. Ich habe verschiedene Kombinationen versucht, ohne Erfolg. So richtig durchschaue ich da noch nicht die Logik der Fritzbox bei den Regeln.

Dies liegt wohl an dem von SaschaR beschriebenen Rückweg. Danke für den Link.

Interessanterweise funktioniert es aber teilweise mit separaten Profilen, die je nach Bedarf aktiviert werden.

Ich habe z.B. ein Profil NurMailErlauben und ein Profil NurCloudStationErlauben eingerichtet. Normalerweise habe ich nur das Profil NurMailErlauben aktiviert. Wenn ich von extern über die CloudStation zugreifen möchte, ändere ich temporär per VPN das Profil auf NurCloudStationErlauben. Dann kann die Synology ebenfalls nicht nach Hause telefonieren aber die Cloud funktioniert.

Bei der Fernwartung ist mir das noch nicht gelungen, ohne dass die Synology wieder komplett offen wäre.

Daher mache ich dies indirekt von hinten durch die Brust über einen zweiten Rechner. Alle Synology Adressen sind natürlich zusätzlich in der Blacklist der Fritzbox gesperrt (Sind eine ganze Menge).

Alles nicht wirklich schön. Man muss schon göttlichen Humor haben, wenn man als Hersteller den Kunden suggeriert, sie hätten mit der Synology einen eigenen CloudSpeicher zu Hause, aber gleichzeitig greift dieser eigene Cloudspeicher ungefragt ständig auf externe Cloudspeicher wie z.B. Amazon zu, um dort Daten abzulegen/abzufragen. Ausgerechnet Amazon, bei der sich auch die CI A eingemietet hat und mit denen Amazon zahlreiche weitere Kooperationen pflegt.

Das mit den sich ständig ändernden Ports ist mir auch schon aufgefallen. Hinzu kommt, das man mit Wireshark immer nur eine Momentaufnahme anschaut. Möchte nicht wissen, was alles ans Tageslicht kommt, wenn man den Datenverkehr einmal ein paar Tage beobachtet.

 

[thk_ms]

N'abend,...

N#Abend,...

@ mante: ich hab's auch mal ausprobiert nur einen Dienst zuzulassen. Also sowohl bei der syno-Cloud als auch den Web-Dav-Server kann ich nicht ansprechen wenn NUR diese Ports zugelassen sind. Btw. habe ich festgestellt, dass die Syno-Cloud-App wohl immer auch Port 10107 nutzen will.

Was beinhaltet den deine Blacklist noch ausser:

autoupdate.synology.com
checkip.synology.com
checkipv6.synology.com
global.download.synology.com
keymaker.synology.com
packages.synocommunity.com
payment.synology.com
pkgautoupdate.synology.com
sns.synology.com
update.synology.com
payment.synology.com

??

LG, thk_ms

 

[Mante]

N#Abend,...

@ mante: ich hab's auch mal ausprobiert nur einen Dienst zuzulassen. Also sowohl bei der syno-Cloud als auch den Web-Dav-Server kann ich nicht ansprechen wenn NUR diese Ports zugelassen sind. Btw. habe ich festgestellt, dass die Syno-Cloud-App wohl immer auch Port 10107 nutzen will.

Was beinhaltet den deine Blacklist noch ausser:

synology.com
update.synology.com
pkautoupdate.synology.com
keymaker.synology.com
synology.com/company/term_packagecenter.php
global.download.synology.com/
help.synology.com
gofile.me
synology.com/support/knowledge_base
account.synology.com
forum.synology.com/
payment.synology.com
download.synology.com
ddns.synology.com
download.synology.com/routerdb
checkip.synology.com
checkipv6.synology.com
checkport.synology.com
packages.synocommunity.com
report.synology.com/upload.php
update.synology.com/filehostupdate/getfilehosts.php
update.synology.com/btsearchupdate/getServerInfo.php
synocloudsync.synology.com
global.quickconnect.to
quickconnect.to
sns.synology

Zum Teil musste ich auch die HTTPS Varianten auf die Liste setzen. Die Fritzbox scheint hier etwas merkwürdig zu reagieren, auch bei der Filterung.

Du schreibst, dass es mit der Syno Cloud App nicht geht. Was meinst Du mit App? Benutzt Du die Cloud mit einem Smartphone? Ich nutze diese nur mit PCs.

Für das ausgehende EMailProfil habe ich nur Port 587 und für das CloudProfil nur Port 6690 (bei Bedarf ändern) definiert. Alle anderen sind gesperrt, auch UDP Ports. Das funktioniert problemlos.

 

[Mante]

Zu dem Zweck der von Synology benutzten Amazon Cloudservern:

Auszug aus den „Deutsche-Wirtschafts-Nachrichten“

Der C IA kann bei Bedarf auf sämtliche Nutzer-Daten von Amazon zurückgreifen….

Aktuell hat der US-Gehei mdienst einen 600 Millionen US-Dollar schweren Kooperations-Vertrag mit dem Online-Versandhändler und darf private Kundendaten abrufen. Amazon ist dabei, seine Cloud-Dienste an die Ansprüche der C IA anzupassen….

Privatdaten von Nutzern könnten dann direkt an den US-Gehei mdienst laufen….

… ist vor allem an den physikalischen Adressen der Nutzer interessiert….

Dies zeigt worum es im ersten Schritt geht.

Kunde kauft Synology bei Amazon. Amazon verknüpft Serien-Nr. von Syno. mit Kundenadresse.
Sobald der Kunde irgend etwas mit der Syno macht, werden Informationen wie Serien-Nr., aktuelle IP-Adressen (externe, interne), Kameradaten (Typ, IP-Adressen etc.), WLan Infos, Protokolle etc. in der Cloud gespeichert und weiter gegeben. Synology kommuniziert ja recht offen was alles weiter gegeben wird (siehe weiter oben im Forum)

Bei weiterem Bedarf können dann die eigentlichen Daten über dritte Wege ausgeleitet werden. Das ist dann in den Snowden Unterlagen recht gut beschrieben.

 

[thk_ms]

Hallo,

ja, ich meinte die Syno-Cloud-App und den Zugriff auf die Diskstation per Mobilfunknetz. Also dabei reicht es nicht, wenn man auch Serverseitig nur den Port 6690 (oder geändert) freigibt. Dabei ist mir auch aufgefallen, dass das Cloud-App auch Port 10107 für irgendetwas nutzt da es versehendlich in meiner Firewwall des Handys gesperrt war (AFwall+).

Mit https-Variante meinst Du jetzt speziell auch die Auflistungbeispiele mit vorrangestellten https://... ?

Kontakt zu Amazon: Berichtigt mich aber wo ist nachgewiesen, dass Amazon auch ohne Konfiguration von Amazon als Cloud-Ziel kontaktiert wird? Hier : http://www.synology-forum.de/showth...eller-!/page13&p=712587&viewfull=1#post712587 ....nicht!

LG, thk_ms

 

[blurrrr]

Datenschutz... Sicherheit.... Träumchen...

Die Leute die Ahnung haben, wissen schon was ich meine (VPN/etc. mag da ja vllt noch etwas Abhilfe schaffen) und dem Rest sei schlichtweg gesagt: vergesst es einfach... Ihr mit eurem Haus voller "online"-Zeugs, Windows und IoT-Geräten ;-) Da könnt ihr AGBs durchwühlen wie ihr wollt... auch das Argument "hosted in Germany" (na, wo liegt das Backup?) zieht da meistens nicht wirklich... Spart euch also einfach die Zeit. Ihr seid es auch, denen es zu mühsam ist, sich jedesmal via VPN ins heimische Netz einzubuchen, um einen Dienst zu erreichen. Alles muss "instant" und "online" funktionieren, natürlich ohne lästigen Mist dazwischen (via z.B. VPN). Da kann man echt nicht mehr viel zu sagen. SSL ist ggf. auch nicht so sicher, wie immer alle meinen (s. Heartbleed & Co.).

All das ganze Geschrei nach "Datenschutz & Sicherheit" (in diesem Falle trifft es nun Synology)... Grosses Mimimi... sicher.... und was ist mit dem Trojaner auf eurem Handy (wer hat schon eine AV-Lösung auf dem Handy)? Den tollen kostenlosen Spieleapps, welche zig Rechte einfordern usw.? Euren zig Toolbars auf eurem Windows10-Rechner? Euren IoT-Geräten, welche natürlich auch alle "online" sind und instant ansprechbar sein müssen von aussen? Synology... ja, da fällt es leicht auf einen Hersteller zu schimpfen... da liegen ja nun auch eure Daten auf deren Geräten... Fraglich ist natürlich nur: "wer" hat die Daten auf das Gerät geschoben? Wer glaubt den ganzen Marketinggeschichten, welche bekanntlich nur dazu da sind, den Verkauf anzuheizen?

Dass die Welt mittlerweile zum Daten-Handelsplatz geworden ist, sollte mittlerweile wirklich "jedem" klar sein. Wem es nicht klar ist, der läuft wohl blind durch die Gegend. Jetzt ein Theater zu veranstalten wegen einem "dauer-online"-Gerät, was div. Dienste nutzt unter Einbeziehung von Dritten (z.B. Quickconnect)... Ich denke "farce" ist das Wort, welches in diesem Zusammenhang schon sehr gut passt... Aber das ist auch nur meine bescheidene (vllt auch etwas drastisch ausgedrückte) Meinung.

Und für alle die, die es "sicher" haben wollen: "offline" ist das neue "online" ;-)

 

[Puppetmaster]

Hohoho, neues Öl im Feuer? ^^