Daten vom Hacker verschlüsselt

[blurrrr]

Ach, schon wieder? Vermutlich der gleiche wie letztens hier, gabs doch schon vor ein paar Wochen einmal... ??

EDIT: Da wurde allerdings gezahlt und es gab die Daten zurück (aber das nur mal so am Rande) - Thread musste mal selbst suchen.

 

[Puppetmaster]

@blurrr: wenn er den Thread hier gelesen hat, dann hat er bereits alles, was er braucht.

 

[peterhoffmann]

@Fitti
Hast du ihn gefragt, was er haben will?

Wenn ich mich recht erinnere, war es im anderen Fall ein sehr kleiner dreistelliger Eurobetrag. Ich empfand das von der Preisgestaltung als zu billig, der betroffene User hatte da saumäßig viel Glück und bekam für kleines Geld seine Daten wieder. Der Täter hatte ihm sogar erzählt, wie er auf das NAS gekommen ist (über iobroker, wo der admin-Account vom NAS hinterlegt war).

 

[Fitti]

Ja, wollte erst 200€. Dann hat er mir einen Schlüssel zum entschlüsseln eines Ordner geschickt. Dann wollte er 180€ in Bitcoin.

 

[peterhoffmann]

Gleiche Lücke, gleiche Masche, sehr ähnliche Preisgestaltung... da ist es sehr wahrscheinlich, dass es wohl der gleiche Typ ist.

 

[the other]

Moinsen,
ach ja....und täglich grüßt das Murmeltier.
Auf die Gefahr mich unbeliebt zu machen im Forum: was muss eigentlich noch so alles geschrieben, gesagt, gezeigt werden und passieren? Ein NAS ist ein Netzwerkspeicher. Die meisten packen da dann ihre mehr oder weniger kostbaren Daten drauf. Warum in aller Welt wird das NAS dann immer und immer wieder zweckentfremdet als VPN Server, Docker und VM Maschine, XYZ-Server? Weil der Anbieter das in bunten Bildern anpreist?
Man, selber mal ein kleines Bisschen nachdenken: ihr habt eure Daten (einige vermutlich auch ganz ohne backup im freien Fall) da drauf und stellt das Teil dann ONLINE, gerne mit ner Portweiterleitung direkt...
Das da mal nen Medienserver drauf läuft, okay...das es als Backup-Server läuft, auch okay. Aber warum immer gleich ein halbes Dutzend anderer Dienste aktivieren, diese dann am Liebsten von überall erreichbar machen???

In Anlehnung an einen bekannten Spruch: NAS als Eierlegende Wollmilchsau, kein Mitleid!

 

[Puppetmaster]

Das ist wie überall im Leben. Nur weil z.B. die Autobahn kein Tempolimit vorschreibt und das Vehikel das kann, muss es nicht gut sein, mit 280km/h zu fahren.
Will heißen: nicht jeder ist offenbar in der Lage, die Situation und die technischen Grenzen für sich immer so richtig einzuordnen und überhaupt zu verstehen.

 

[peterhoffmann]

Vergleichen wir ein NAS mal mit einem Tresor. Anstatt den mit all seinem Geld und Gold im Keller zu verstecken, kann ich den zusätzlich mit einem Schlitz ausrüsten und draußen als Briefkasten verwenden. Funktioniert bestimmt. Die Frage ist nur wie lange...

 

[Jim_OS]

Ich sehe das auch so. Wenn sich auf dem NAS meine Daten befinden, die mir auch wichtig sind, dann beschränke ich mich (möglichst) auf die Software die vom Hersteller für das NAS zur Verfügung stellt wurde/wird. Dies in der Hoffnung das wenn es Fehler und Lücken in der Software gibt, diese von dem Hersteller erkannt und gefixt werden. Das bedeutet für mich ich brauche auch nur an einer Stelle zu schauen was es an Neuigkeiten (Fehler, Updates, Fixe usw.) gibt. Bzgl. Synology also bei Synology bzw. hier im Forum.

Wenn ich auf dem NAS irgendwelche Software von irgendwo installiere, bin ich nur noch damit beschäftigt an X Orten nach Infos zu dieser Drittsoftware zu suchen und kann nur beten das mir keine Info bzgl. irgendwelcher Fehler und Sicherheitslücken entgeht. Genau dieses suchen an X Orten müsste man dann nämlich machen wenn einem die Sicherheit seiner Daten auch etwas bedeutet und dazu habe ich weder die Lust noch die Zeit.

Hinzu kommt das viele User leider gar nicht genau wissen was und wie sie irgendwelche Drittsoftware installieren. Meist wird nach irgendwelchen Infos und Anleitung von irgendwelchen Webseiten vorgegangen und munter drauf los installiert. Möglichst noch mit irgendwelchen Befehlen auf Command Mode Ebene. Egal, Hauptsache es funktioniert irgendwie.

Natürlich muss das jeder für sich entscheiden, aber zum "rumspielen" mit X Anwendungen ist ein NAS eigentlich nicht gedacht. Sofern dies auch wichtig/persönliche Daten enthält.

VG Jim

 

[whitbread]

Also so einfach kann man das jetzt auch nicht alles verdammen. Die meisten haben ja inzwischen gelernt, dass eine NAS halt 24/7 laufen sollte. Da bietet es sich schon aus ökonomischen und ökologischen Gründen an, dort auch seine VMs bzw. Docker-Instanzen laufen zu lassen. Im vorliegenden Fall hätte die physische Trennung übrigens gleichermassen zur Infektion geführt. Schauen wir also jetzt auf die Punkte, wo ganz schnell Fehler passieren:
1.) Vollständiges physisch getrenntes Backup ist ganz unabhängig davon schonmal Pflicht. Ist ein Backup vorhanden, braucht es nur Zeit und kein Geld für die Wiederherstellung.
2.) VMs oder Docker-Instanzen gehören in ein getrenntes Netz. Somit können auch ggf. unsichere Installationen nicht die NAS infizieren oder wie im vorliegenden Fall bösartig "administrieren". Ganz konkret: Ein Zugriff auf die NAS darf von diesen Instanzen dann natürlich nicht möglich sein.
3.) Zudem sollte man sich natürlich genau überlegen, wem man seine Credentials überlässt. Ein kleines unbedeutendes Plugin (heisst bei ioBroker Adapter) eines russischen Programmierers in der Version 0.1.x (bedeutet für mich Betastatus) ist da sicherlich kein geeigneter Platz. Zudem sollte ein externes Plugin natürlich niemals Admin-Rechte für andere Systeme bekommen.
4.) Die Bereitstellung von Diensten im www mittels Portfreigabe ist einfach ein Risiko. Für öffentliche Dienste (Webserver) geht es natürlich nicht ohne, dann aber bitte trennen (siehe 2.). Für private Dienste (in diesem Fall SmartHome) ist die eindringliche Empfehlung, ausschliesslich VPN zu nutzen!

Glücklicherweise muss man schon einiges falsch machen, um von diesem "Hack" erwischt zu werden.

Allgemein darf man hier aber auch Synology ein bisschen fehlenden Handlungswillen unterstellen: Sowohl für VMs mittels openVSwitch (Begrenzung auf 4 VLANs), als auch für Docker alternativ ebenfalls via openVSwitch oder via macvlan ist die Umsetzung der Netzwerk-Konfiguration einfach unvollständig bzw. nicht vorhanden bzw. wird einfach nicht unterstützt. Ich würde hier auf openvSwitch setzen und dies gleichermassen für VMs und Docker bereitstellen, und zwar in einer Weise, die die Konfiguration mittels GUI den Leuten es möglichst einfach macht.

 

[the other]

Moinsen @whitbread ,
da gebe ich dir unumwunden Recht. Ich selber nutze ja auch noch einige Dienste, die das synology Universum so mit in den Ring sch(m)eißt...
Nur, wie du ja auch völlig richtig bemerkst, sind diese niemals nicht nada übers Netz ohne VPN erreichbar. Dass es ökologisch wie auch ökonomisch Sinn macht, nicht für jeden Dienst ne eigene Hardwarelösung vorzuhalten, sehe ich auch. Aber wie so oft: mit Sinn und Verstand (oder eben mit dem nötigen knoffhoff(!)).
Und was gab es nicht schon alles: gerade mal wieder iobroker, dann veränderte zb openmediavault mal eben die ssh Konfig (uupsie), dann werden ein Dutzend PWLs geschaltet.
Schade find ich immer: das kann man auch machen, klar, wenn eben soviel Wissen und Wille vorhanden sind, um das dann so zu fahren, wie du schreibst. Nur hab ich hier nicht selten den Eindruck, dass die Menschen so an die 400 bis 700 Euro ausgeben für mega geiles NAS und hui voll die Profi hdds, ach was ssds. Aber mal vorher ein paar basics (wir haben nicht mehr 1980 und das ist heute kein Nerd-Wissen sondern sollte allgemeine mediale Schule sein) zum Thema Netzwerksicherheit, was macht ein NAS, wie geht es eigentlich, dass ich das dann von überall her aufrufen kann, hui, können das dann auch andere....ein paar basics sollte man schon bereit sein zu lernen, zu verinnerlichen. Ich persönlich kauf halt nix, wenn ich mich vorher nicht ein bisle mit der Materie befasst habe.
Und so war mein (zugegeben: polemischer) Post auch gemeint: geil, kauf ich mir ein Motorrad, früher mit dem Moped wars ja auch immer cool, geil. Toll wie schnell das fährt, huch, ein BaumBÄNG!
Aber das hatten wir auch schon x mal besprochen...

 

[the other]

...und das ist ja auch 1 zu 1 übertragbar auf den generellen Umgang mit Informationstechnologie und den Umgang mit personellen Daten. Seien es die großen Kraken im Netz oder eben der unschuldig-naive Umgang, die eigenen Bestände abzusichern...
Ist eben Neuland, dieses Internet.
(und ich bin da bestimmt auch a weng paranoider als nötig)

 

[whitbread]

Ja - Datenschutz wäre dann noch die Erweiterung.
Wie wir das nötige Wissen in die Breite tragen können, frage ich mich auch. In der Grundschule geht die Computer-AG ungefiltert ins Netz, alle Welt nutzt weiterhin WA, Insta und G00gle-Mail und die Schulen nutzen tw. Teams, aber alle Internetnutzer sollen via Vorratsdatenspeicherung ausgespäht werden, um KiPo und Terrorismus zu verhindern. Was mich echt wundert, warum dies nirgendwo auf der Agenda (auch in der Politik nicht) erscheint, obwohl längst mind. 1 Generation die Schulzeit verlassen hat.

Zurück zum Thema:
Eine NAS ist schnell gekauft. Solange diese geschützt im LAN steht, sehe ich das auch unkritisch. Sobald aber Dienste im Netz stehen, müsste da ein Wissen jenseits der Portfreigabe in der Fritzbox, vorhanden sein. Also mind. einfache Netzwerk-Segmentierung, besser noch incl. VLANs. Was mich ärgert ist, dass Netzwerk-Technik nicht einmal in Grundlagen irgendwo in der Schule behandelt wird. Stattdessen sollen meine Kidz Gesichter aus Kartoffeln schnitzen - im Distanzunterricht!

 

[zxmc]

Ja - Datenschutz wäre dann noch die Erweiterung.
Wie wir das nötige Wissen in die Breite tragen können

Welches Wissen? Datenschutz ist ein Thema für verirrte Nerds. Die Breite wird nicht erreicht, weil es kein sinnvolles, klar definiertes Ziel mit nachvollziehbarem Nutzen für den Betroffenen gibt. Datenschutz wird als zeitraubender Selbstzweck zelebriert und dann wird auf die doofen Normalos geschimpft, die es nicht raffen. Fragt sich, wer in diesem Kontext wirklich auf dem Schlauch steht.

Sobald aber Dienste im Netz stehen, müsste da ein Wissen jenseits der Portfreigabe in der Fritzbox, vorhanden sein.

Warum eigentlich?
Geht etwas kaputt, kauft man neu und spielt das Backup ein. Ist kein Backup vorhanden, dann ist das gar kein Problem, denn dann war es nicht wichtig. Eine Einstellung, die viel Lebenszeit und Nerven sparen kann.

 

[Synchrotron]

Beim letzten derartigen Vorfall, über den im Forum berichtet wurde, wurde die Synology-eigene Verschlüsselung genutzt. Zu der muß man (hier leider) sagen, dass sie Industriestandards entspricht und nicht zu knacken ist, wenn ein entsprechendes Passwort verwendet wurde.

 

[Synchrotron]

Das rein kommen ist vermutlich ganz einfach: Port Scan auf offenen ioBroker-Port, Klopf klopf, dann Anmeldeversuch, dann Patchcheck, wenn offen Attacke, wenn nicht, dann nächster offener Port. Wenn man sich darauf spezialisiert, eine schöne „Marktnische“, weil man den Systemzugang per Generalschlüssel selbst darstellen kann.

Mir ist es unverständlich, dass die Anbieter der Software da nicht aktiv informieren. Die Lücke ist schon länger bekannt, den Patch gibt es auch nicht erst seit gestern.

 

[FrAntje]

Vielleicht habe ich es ja überlesen, aber ich versteh immer noch nicht, was ein iobroker nun mit einem Verschlüsslung Trojaner zu tun hat. Gibts das irgendwo in Kurzform?

 

[servilianus]

- Installation von IoBroker: Standardmässig ohne Admin-Kennwort, muss nachkonfiguriert werden
- man gibt die Ports von ioBroker ins Internet frei (weil man via Smartphone bequem ioBroker-Applikationen aus dem Internet schalten will)
- und hat in ioBroker auch noch eine Instanz eingebaut, die Zugriff auf die Synology ermöglicht.
Ergo: So kommt man ohne Passwort via ioBroker aus dem großen weiten Web auf die Synology- und verschlüsselt mit Bordmitteln lustig Ordner

 

[FrAntje]

Ahh ok, ich wunderte mich schon. Ich nutze nämlich nun seit...keine Ahnung gefühlt 7 Jahren iobroker, ohne Admin Kennwort.
Aber auf die Idee gekommen den nach aussen hin frei zu machen bin ich natürlich nicht

 

[the other]

Moinsen,
na dann wäre das ja vielleicht mal ein guter Anlass, um dies

keine Ahnung gefühlt 7 Jahren iobroker, ohne Admin Kennwort

vielleicht jetzt zu ändern...?
Denn theoretisch reicht ja so die Kompromittierung eines einzigen Clients im eigenen W/LAN, um ohne Kennwortschutz auf den supderduper iobroker zu zugreifen und damit aufs NAS.
jm2c