Diskstation gehackt

SAMU

Benutzer
Mitglied seit
26. Sep 2018
Beiträge
261
Punkte für Reaktionen
12
Punkte
18
@Flessi naja. Um beim Haustür-Vergleich zu bleiben:

Die lässt ja auch nicht die Haustür offen, und dann den Schmuck im Safe in welchem der Schlüssel steckt...
 

Flessi

Benutzer
Mitglied seit
14. Sep 2012
Beiträge
471
Punkte für Reaktionen
64
Punkte
34
@SAMU #58
Bei mir werden die IPs in diesem Fall ebenso dauerhaft blockiert. Das macht aber nichts, da der Router ja durch den Neustart eine neue, nicht blockierte IP bekommt, wodurch du wieder auf dein NAS kommst und nicht länger warten musst.
 

Ulfhednir

Benutzer
Sehr erfahren
Mitglied seit
26. Aug 2013
Beiträge
3.503
Punkte für Reaktionen
1.093
Punkte
194
Wenn ich beim ersten Versuch direkt in dein System komme, wird das Blockieren beim 3 Versuch nichts bringen. Ihr müsst nicht davon ausgehen, dass in den genannten Fällen ein Bruteforce stattgefunden hat. Sondern es wurden entweder Systemrechte des Laufenden Prozesses verwendet (Aus dem Docker-Container ausgebrochen) oder Passwörter aus dem Smarthome-System ausgelesen.

Das macht jegliche Argumentation über automatische Sperren obsolet.
 
Zuletzt bearbeitet von einem Moderator:
  • Like
Reaktionen: blurrrr

Jagnix

Benutzer
Sehr erfahren
Mitglied seit
10. Okt 2018
Beiträge
1.238
Punkte für Reaktionen
328
Punkte
109
Meinst du das ernst was du schreibst @Flessi ?
 
  • Haha
Reaktionen: blurrrr

Tommes

Benutzer
Sehr erfahren
Maintainer
Mitglied seit
26. Okt 2009
Beiträge
9.737
Punkte für Reaktionen
1.646
Punkte
314
Du weißt ja auch was Du tust, mein lieber Pommes :)
Ha... du hast ja keine Ahnung. Ich bin nur ziemlich paranoid, was das angeht, aber ob ich deswegen alles richtig mache, wage ich mal stark zu bezweifeln. Außerdem hätten mir das die Stimmen sonst schon gesagt.
Das Grundproblem ist jede Art von Portweiterleitung
Das sehe ich auch so. Das Thema Portweiterleitung hat mich letzten Endes dazu gebracht, mir eine „vernünftige“ Firewall anzuschaffen, auch wenn ich aktuell nur einen Port für einen Minecraft Server offen habe... soviel zum Thema Paranoia ?
 
  • Like
Reaktionen: blurrrr

SAMU

Benutzer
Mitglied seit
26. Sep 2018
Beiträge
261
Punkte für Reaktionen
12
Punkte
18
Wenn ich beim ersten Versuch direkt in dein System komme, wird das Blockieren beim 3 Versuch nichts bringen. Ihr müsst nicht davon ausgehen, dass in den genannten Fällen ein Bruteforce stattgefunden hat. Sondern es wurden entweder Systemrechte des Laufenden Prozesses verwendet (Aus dem Docker-Container ausgebrochen) oder Passwörter aus dem Smarthome-System ausgelesen.

Das macht jegliche Argumentation über automatische Sperren obsolet.

Ich glaub @Flessi bezog sich darauf, weil @Schwarte und ich geschrieben hatten, dass bei uns in letzter Zeit vermehrt Login versuche stattfinden.

Nichtdestotrotz ist das verschlüsseln der Ordner, damit der Angreifer sie nicht verschlüsseln kann totaler humbug. Mag vielleicht in diesem einen speziellen Fall die Sache etwas herauszögern. Aber eben, man schließt ja auch seine Haustür ab, und lässt die nicht offen und versteckt stattdessen seinen Schmuck. Weil dann wird halt der Fernseher geklaut.
 

Ulfhednir

Benutzer
Sehr erfahren
Mitglied seit
26. Aug 2013
Beiträge
3.503
Punkte für Reaktionen
1.093
Punkte
194
Das Grundproblem ist jede Art von Portweiterleitung. Erst die Haustür offen stehen lassen und dann versuchen, über verschlossene Zimmertüren oder verschlossene Schubladen doch noch was zu schützen ist m.E. der falsche Ansatz.
Das sehe ich nicht zwangsweise so. Auch auf deinem Router sind Ports offen, damit Anbieterdienste oder auch der VPN funktioniert. Das macht das Thema noch lange nicht zu einem Sicherheitsproblem. Problematisch wird es, wenn die durch den Port angesprochenen Applikationen potentiell unsicher sind. Das heißt entweder unsichere Verbindungs- / Kommunikationsprotokolle verwenden, keine Authentifzierungsverfahren anbieten und softwareseitig nicht gepflegt werden - Stichwort: Sicherheitslücken & Bugs
 
  • Like
Reaktionen: blurrrr

SAMU

Benutzer
Mitglied seit
26. Sep 2018
Beiträge
261
Punkte für Reaktionen
12
Punkte
18
Könnte man eigentlich nicht mal die Logdatei in DSM durchschauen, was da in letzter Zeit los war an Logins / Aktionen etc?
 

Flessi

Benutzer
Mitglied seit
14. Sep 2012
Beiträge
471
Punkte für Reaktionen
64
Punkte
34
Wenn ich Dödel mein kompliziertes Passwort also selber 3 Mal falsch eingebe, bin ich dann ebenfalls weg und muss 600 Minuten warten? Wobei ich es bei mir so eingerichtet habe, dass keine automatische Aufhebung der Sperre erfolgt.
Deshalb schrieb ich:
Im "Notfall" hilft es, den Router kurzzeitig vom Netz zu nehmen, da er nach Neuanmeldung i.d.R. eine neue IP bekommt und die Sperre ist umgangen.
Oder man entsperrt per Handy (hat ja eine andere IP und wird deshalb durchgelassen) mit Hilfe der "DS finder"-App.
Diese Antwort ist doch unabhäng vom Thema erfolgt und sollte ein Tip sein, für den Fall, dass man sich mal selbst ausgesperrt hat.

Genauso wie bei ioBroker irgendwo eine Lücke sein muss, über die man wohl eindringen kann und unabhängig davon wie das geschieht, gehe ich davon aus, das dies bei anderen Programmen dann ebenso möglich ist, besonders, wenn man unbedarft (wie viele das de facto tun) damit umgeht.
Wenn ich dann Vorsorge getroffen habe, das ein Verschlüsseln durch die Systemsteuerung nicht möglich ist (als reine Prevention!) meine ich das ernst.
 

SAMU

Benutzer
Mitglied seit
26. Sep 2018
Beiträge
261
Punkte für Reaktionen
12
Punkte
18
Deshalb schrieb ich:

Das mit dem Router geht aber auch nur wenn mir das irgendwo passiert wo ich den Router ausstecken kann und ich keine fixe IP habe. Bei Mobilfunknetz / Telekom / ICEs / Firmennetz / Kundennetz etc wird es eher schwierig.
 

Speicherriese

Benutzer
Mitglied seit
08. Mai 2018
Beiträge
225
Punkte für Reaktionen
56
Punkte
28
Das sehe ich nicht zwangsweise so. Auch auf deinem Router sind Ports offen, damit Anbieterdienste oder auch der VPN funktioniert. Das macht das Thema noch lange nicht zu einem Sicherheitsproblem. Problematisch wird es, wenn die durch den Port angesprochenen Applikationen potentiell unsicher sind. Das heißt entweder unsichere Verbindungs- / Kommunikationsprotokolle verwenden, keine Authentifzierungsverfahren anbieten und softwareseitig nicht gepflegt werden - Stichwort: Sicherheitslücken & Bugs
Das sehe ganz genauso. Man braucht Portweiterleitungen um überhaupt vernünftig von unterwegs mit den Diensten arbeiten zu können. ( oder man hat VPN) Die Schwachstelle sind die unsicheren Aplikationen die dann von außen durch eben diesen Port zum Einfallstor werden. IoBroker scheint genau so eine Aplikation zu sein. Ganz ehrlich, die würde ich ab jetzt sofort von meinem System löschen. Für immer
 

Synchrotron

Benutzer
Sehr erfahren
Mitglied seit
13. Jul 2019
Beiträge
5.139
Punkte für Reaktionen
2.097
Punkte
259
Können die Profis hier im Forum schon eine Analyse ( keine Vermutungen) der beiden gehackten Vorfälle abgeben, wo der Hacker eine Schwachstelle im System gefunden hat um ins NAS zu gelangen. Was bringt einem FW, Zertifikate, 2Stufen Verifizierung usw. wenn doch irgendwo wieder ein Schlüssel im Garten rumliegt, den man aber selber nicht sieht um die Tür aufzusperren. Der IoBroker scheint ja schon mal ein Einfallstor zu sein. ( Vermutung von mir)
Das ist alles, was mich interessiert.
Bin kein Profi, aber aus dem anderen Vorfall hier im Forum und den Berichten dazu läßt sich lesen, dass es eine schwerwiegende Schwachstelle im iobroker gibt (Gegenwart, denn die ist so lange da, bis man aktiv den Fix einspielt). Wer jetzt einen Port offen hat, um seinen iobroker zu erreichen, der geht davon aus, dass man dort die Anmeldedaten benötigt. Bei dieser Schwachstelle ist es aber nicht so.

Also werden massenhaft IPs auf offene Ports gescannt. Werden welche gefunden (speziell wenn sie dem Standardport für iobroker entsprechen), wird die Installation mit passender Schadsoftware angegriffen. Der iobroker wird ohne Anmeldedaten übernommen. Wie von dort der Ausbruch über den Docker in die Syno gelingt: Keine Ahnung. Ich gehe bis zum Beweis des Gegenteils davon aus, dass es möglich ist, und aktiv ausgenutzt wird.

Solche Exploit-Ketten werden in einschlägigen Foren gehandelt, fix und fertig mit der passenden Schadsoftware.
 

Jim_OS

Benutzer
Sehr erfahren
Mitglied seit
05. Nov 2015
Beiträge
5.069
Punkte für Reaktionen
2.268
Punkte
259
IoBroker scheint genau so eine Aplikation zu sein. Ganz ehrlich, die würde ich ab jetzt sofort von meinem System löschen. Für immer
Dann müsstest Du wohl so ziemlich jede Software von Deinem System löschen, incl. dem Betriebssystem. ;)

Es gibt immer und überall von Zeit zu Zeit Lücken die erst noch geschlossen werden müssen. Je nach Wichtigkeit und Schweregrad sollte man darauf entsprechend reagieren. Wie hier schon ausgiebig diskutiert gibt es grundlegenden Dinge die man beachten und realisieren sollte und mehr kann man einfach nicht machen. Es ist immer ein "Hase und Igel Spiel". :)

VG Jim
 
  • Like
Reaktionen: Synchrotron

Synchrotron

Benutzer
Sehr erfahren
Mitglied seit
13. Jul 2019
Beiträge
5.139
Punkte für Reaktionen
2.097
Punkte
259
Solche Schwachstellen können in JEDEM System gefunden werden, einschließlich Router und Firewalls. Alles schon da gewesen. Deshalb über iobroker herzufallen ist sinnlos.

Also Regel 1: Kein System ist ganz sicher, daher ist ein geschütztes Backup manchmal die letzte Rückfallebene.

Regel 2: Je mehr Applikationen von außen erreichbar sind, um so größer ist die Wahrscheinlichkeit, dass in einer davon eine Lücke besteht. Die muß gefunden werden, der Hersteller muß eine Abhilfe programmieren, die muß ausgerollt werden, die Benutzer müssen sie installieren. Habe ich 10 Ports offen, mit 10 direkt erreichbaren Applikationen, habe ich 10 mögliche Angriffsziele. Daher immer hinterfragen, ob eine Applikation überhaupt aus dem Internet erreichbar sein muss, und wenn ja, wie.

Regel 3: Wenn man selbst zugreifen will, oder ein definierter Kreis, dann kann man über einen einzigen VPN-Zugang den Zugriff auf alle Applikationen bündeln. VPN (IPSec, OpenVPN, Wireguard) gilt insgesamt als sicher, wenn korrekt eingerichtet. Dann sind nicht 10 Ports offen, sondern nur einer, und dahinter liegt der VPN-Server und die Firewall. Daher prüfen, ob man alles oder möglichst viel über einen VPN-Zugang einrichtet.
 
  • Like
Reaktionen: Jim_OS und blurrrr

Speicherriese

Benutzer
Mitglied seit
08. Mai 2018
Beiträge
225
Punkte für Reaktionen
56
Punkte
28
Dann müsstest Du wohl so ziemlich jede Software von Deinem System löschen, incl. dem Betriebssystem. ;)

Es gibt immer und überall von Zeit zu Zeit Lücken die erst noch geschlossen werden müssen. Je nach Wichtigkeit und Schweregrad sollte man darauf entsprechend reagieren. Wie hier schon ausgiebig diskutiert gibt es grundlegenden Dinge die man beachten und realisieren sollte und mehr kann man einfach nicht machen. Es ist immer ein "Hase und Igel Spiel". :)

VG Jim
Sehe ich anders. Wenn man weiß, woher die Schwachstelle in einem System kommt (ioBroker) dann lasse ich diese doch nicht weiterlaufen, bis irgendwann mal der Hersteller die Lücke geschlossen hat. Vor allem bei so einem supergau, vertrau ich doch so einer Software nie und nimmer mehr. Weg damit
 
  • Wow
Reaktionen: blurrrr

Penthys

Benutzer
Mitglied seit
04. Jun 2020
Beiträge
250
Punkte für Reaktionen
53
Punkte
34
Gestern habe ich mir folgende Frage gestellt: Kann man unter DSM verschlüsselte "gemeinsame Ordner" (nochmal) verschlüsseln?
Die Überprüfung ergab die Antwort: anscheinend nicht - es lässt sich wohl kein Passwort eintragen!
Das müsste doch bedeuten, dass wenn man regulär immer mit bereits verschlüsselten (eingehängten) "gemeinsamen Ordnern" arbeiten würde, könnte ein Hacker Ordner nicht verschlüsseln, da er sie vorher entschlüsseln müsste (ist ein längerer Vorgang) und auch die dazu benötigten Passwörter kenne müsste.
Diese könnten sich aber auf einem abgezogenen USB-Stick befinden.
Kann das so bestätigt werden oder habe ich etwas übersehen?
Wenn die verschlüsselten Ordner angehängt sind, stehen sie ja in lesbarer Form bereit. Ich würde die Inhalte dann in neue verschlüsselte Ordner verschieben und die alten Ordner löschen. Dann kann man auch nur noch mit meinem neuen Schlüssel an die Daten ran.
 

SAMU

Benutzer
Mitglied seit
26. Sep 2018
Beiträge
261
Punkte für Reaktionen
12
Punkte
18

blurrrr

Benutzer
Sehr erfahren
Mitglied seit
23. Jan 2012
Beiträge
6.204
Punkte für Reaktionen
1.105
Punkte
248
.oO(... und täglich grüsst das Murmeltier ?)

wenn die durch den Port angesprochenen Applikationen potentiell unsicher sind


(y) (denn die Ports können da mal so garnichts für ;))


Genauso wie bei ioBroker irgendwo eine Lücke sein muss

Falsch konfigurieren reicht schon völlig aus, mit "Lücken" hat das dann eher weniger zu tun

Um Kohle zu machen?!

Genau so sieht es aus... Manch einer ist sogar noch mit "sportlichem" Charme dabei (dann geht es nicht um's Geld). Da es sich aber auch etabliert hat (das "sportliche") und Firmen mittlerweile sogar freiwillig Geld dafür zahlen (Bug-Bounty, u.a. Synology, Google, Amazon, Ebay und Co.), sitzen die mit dem sportlichen Ansatz mittlerweile auch dran und verdienen darüber ihr Geld. Pro Lücke können dann auch schon mal 5-stellige Beträge fliessen :) Die "anderen" handeln entweder "direkten" Auftrag (z.B. Industriespionage, etc.), oder sind eher die "Kleinkriminellen", spammen einen zu, kaufen irgendwo 0-Day-Exploits ein und versuchen es dann ganz blöd via z.B. Erpressung (und/oder verkaufen die erlangten Daten).

Solche Schwachstellen können in JEDEM System gefunden werden, einschließlich Router und Firewalls. Alles schon da gewesen. Deshalb über iobroker herzufallen ist sinnlos.

? Definitiv... Ist eigentlich "völlig" egal, was man sich da jetzt raus pickt. Da muss man nur mal durch die Historien gehen, es findet sich "überall" etwas. Dienste sind Software, Software wird von Menschen gemacht, Menschen machen Fehler, Ende. Wäre vielleicht garnicht mal verkehrt, wenn die ungläubigen hier sowas mal machen. Wie wäre es z.B. mal hier mit? ;) Tut mir leid, aber die schöne bunte Traumwelt ist und bleibt leider auch nur das was sie ist: eine schöne bunte Traumwelt.... Jetzt aber nicht direkt das NAS aus dem Fenster werfen ? Also ... nicht so:

Vor allem bei so einem supergau, vertrau ich doch so einer Software nie und nimmer mehr. Weg damit

... weil ansonsten hat man dann bald nix mehr mit Netzwerkanbindung im Haus?
 

Thonav

Benutzer
Sehr erfahren
Mitglied seit
16. Feb 2014
Beiträge
7.896
Punkte für Reaktionen
1.517
Punkte
274
  • Like
Reaktionen: SAMU


 

Kaffeautomat

Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.

Als Dankeschön schalten wir deinen Account werbefrei.

:coffee:

Hier gehts zum Kaffeeautomat