Diskstation gehackt

[SAMU]

@Flessi naja. Um beim Haustür-Vergleich zu bleiben:

Die lässt ja auch nicht die Haustür offen, und dann den Schmuck im Safe in welchem der Schlüssel steckt...

 

[Flessi]

@SAMU #58
Bei mir werden die IPs in diesem Fall ebenso dauerhaft blockiert. Das macht aber nichts, da der Router ja durch den Neustart eine neue, nicht blockierte IP bekommt, wodurch du wieder auf dein NAS kommst und nicht länger warten musst.

 

[Ulfhednir]

Wenn ich beim ersten Versuch direkt in dein System komme, wird das Blockieren beim 3 Versuch nichts bringen. Ihr müsst nicht davon ausgehen, dass in den genannten Fällen ein Bruteforce stattgefunden hat. Sondern es wurden entweder Systemrechte des Laufenden Prozesses verwendet (Aus dem Docker-Container ausgebrochen) oder Passwörter aus dem Smarthome-System ausgelesen.

Das macht jegliche Argumentation über automatische Sperren obsolet.

 

[Jagnix]

Meinst du das ernst was du schreibst @Flessi ?

 

[Tommes]

Du weißt ja auch was Du tust, mein lieber Pommes

Ha... du hast ja keine Ahnung. Ich bin nur ziemlich paranoid, was das angeht, aber ob ich deswegen alles richtig mache, wage ich mal stark zu bezweifeln. Außerdem hätten mir das die Stimmen sonst schon gesagt.

Das Grundproblem ist jede Art von Portweiterleitung

Das sehe ich auch so. Das Thema Portweiterleitung hat mich letzten Endes dazu gebracht, mir eine „vernünftige“ Firewall anzuschaffen, auch wenn ich aktuell nur einen Port für einen Minecraft Server offen habe... soviel zum Thema Paranoia ?

 

[SAMU]

Wenn ich beim ersten Versuch direkt in dein System komme, wird das Blockieren beim 3 Versuch nichts bringen. Ihr müsst nicht davon ausgehen, dass in den genannten Fällen ein Bruteforce stattgefunden hat. Sondern es wurden entweder Systemrechte des Laufenden Prozesses verwendet (Aus dem Docker-Container ausgebrochen) oder Passwörter aus dem Smarthome-System ausgelesen.

Das macht jegliche Argumentation über automatische Sperren obsolet.

Ich glaub @Flessi bezog sich darauf, weil @Schwarte und ich geschrieben hatten, dass bei uns in letzter Zeit vermehrt Login versuche stattfinden.

Nichtdestotrotz ist das verschlüsseln der Ordner, damit der Angreifer sie nicht verschlüsseln kann totaler humbug. Mag vielleicht in diesem einen speziellen Fall die Sache etwas herauszögern. Aber eben, man schließt ja auch seine Haustür ab, und lässt die nicht offen und versteckt stattdessen seinen Schmuck. Weil dann wird halt der Fernseher geklaut.

 

[Ulfhednir]

Das Grundproblem ist jede Art von Portweiterleitung. Erst die Haustür offen stehen lassen und dann versuchen, über verschlossene Zimmertüren oder verschlossene Schubladen doch noch was zu schützen ist m.E. der falsche Ansatz.

Das sehe ich nicht zwangsweise so. Auch auf deinem Router sind Ports offen, damit Anbieterdienste oder auch der VPN funktioniert. Das macht das Thema noch lange nicht zu einem Sicherheitsproblem. Problematisch wird es, wenn die durch den Port angesprochenen Applikationen potentiell unsicher sind. Das heißt entweder unsichere Verbindungs- / Kommunikationsprotokolle verwenden, keine Authentifzierungsverfahren anbieten und softwareseitig nicht gepflegt werden - Stichwort: Sicherheitslücken & Bugs

 

[SAMU]

Könnte man eigentlich nicht mal die Logdatei in DSM durchschauen, was da in letzter Zeit los war an Logins / Aktionen etc?

 

[Flessi]

Wenn ich Dödel mein kompliziertes Passwort also selber 3 Mal falsch eingebe, bin ich dann ebenfalls weg und muss 600 Minuten warten? Wobei ich es bei mir so eingerichtet habe, dass keine automatische Aufhebung der Sperre erfolgt.

Deshalb schrieb ich:

Im "Notfall" hilft es, den Router kurzzeitig vom Netz zu nehmen, da er nach Neuanmeldung i.d.R. eine neue IP bekommt und die Sperre ist umgangen.
Oder man entsperrt per Handy (hat ja eine andere IP und wird deshalb durchgelassen) mit Hilfe der "DS finder"-App.

Diese Antwort ist doch unabhäng vom Thema erfolgt und sollte ein Tip sein, für den Fall, dass man sich mal selbst ausgesperrt hat.

Genauso wie bei ioBroker irgendwo eine Lücke sein muss, über die man wohl eindringen kann und unabhängig davon wie das geschieht, gehe ich davon aus, das dies bei anderen Programmen dann ebenso möglich ist, besonders, wenn man unbedarft (wie viele das de facto tun) damit umgeht.
Wenn ich dann Vorsorge getroffen habe, das ein Verschlüsseln durch die Systemsteuerung nicht möglich ist (als reine Prevention!) meine ich das ernst.

 

[SAMU]

Deshalb schrieb ich:

Das mit dem Router geht aber auch nur wenn mir das irgendwo passiert wo ich den Router ausstecken kann und ich keine fixe IP habe. Bei Mobilfunknetz / Telekom / ICEs / Firmennetz / Kundennetz etc wird es eher schwierig.

 

[Speicherriese]

Das sehe ich nicht zwangsweise so. Auch auf deinem Router sind Ports offen, damit Anbieterdienste oder auch der VPN funktioniert. Das macht das Thema noch lange nicht zu einem Sicherheitsproblem. Problematisch wird es, wenn die durch den Port angesprochenen Applikationen potentiell unsicher sind. Das heißt entweder unsichere Verbindungs- / Kommunikationsprotokolle verwenden, keine Authentifzierungsverfahren anbieten und softwareseitig nicht gepflegt werden - Stichwort: Sicherheitslücken & Bugs

Das sehe ganz genauso. Man braucht Portweiterleitungen um überhaupt vernünftig von unterwegs mit den Diensten arbeiten zu können. ( oder man hat VPN) Die Schwachstelle sind die unsicheren Aplikationen die dann von außen durch eben diesen Port zum Einfallstor werden. IoBroker scheint genau so eine Aplikation zu sein. Ganz ehrlich, die würde ich ab jetzt sofort von meinem System löschen. Für immer

 

[Synchrotron]

Können die Profis hier im Forum schon eine Analyse ( keine Vermutungen) der beiden gehackten Vorfälle abgeben, wo der Hacker eine Schwachstelle im System gefunden hat um ins NAS zu gelangen. Was bringt einem FW, Zertifikate, 2Stufen Verifizierung usw. wenn doch irgendwo wieder ein Schlüssel im Garten rumliegt, den man aber selber nicht sieht um die Tür aufzusperren. Der IoBroker scheint ja schon mal ein Einfallstor zu sein. ( Vermutung von mir)
Das ist alles, was mich interessiert.

Bin kein Profi, aber aus dem anderen Vorfall hier im Forum und den Berichten dazu läßt sich lesen, dass es eine schwerwiegende Schwachstelle im iobroker gibt (Gegenwart, denn die ist so lange da, bis man aktiv den Fix einspielt). Wer jetzt einen Port offen hat, um seinen iobroker zu erreichen, der geht davon aus, dass man dort die Anmeldedaten benötigt. Bei dieser Schwachstelle ist es aber nicht so.

Also werden massenhaft IPs auf offene Ports gescannt. Werden welche gefunden (speziell wenn sie dem Standardport für iobroker entsprechen), wird die Installation mit passender Schadsoftware angegriffen. Der iobroker wird ohne Anmeldedaten übernommen. Wie von dort der Ausbruch über den Docker in die Syno gelingt: Keine Ahnung. Ich gehe bis zum Beweis des Gegenteils davon aus, dass es möglich ist, und aktiv ausgenutzt wird.

Solche Exploit-Ketten werden in einschlägigen Foren gehandelt, fix und fertig mit der passenden Schadsoftware.

 

[Speicherriese]

Solche Exploit-Ketten werden in einschlägigen Foren gehandelt, fix und fertig mit der passenden Schadsoftware.

Um Kohle zu machen?! Wenn nur 1 Tsd Leute zahlen , sagen wir mal nur 150Euro, hat er 150tsd Euro beisammen.

 

[Jim_OS]

IoBroker scheint genau so eine Aplikation zu sein. Ganz ehrlich, die würde ich ab jetzt sofort von meinem System löschen. Für immer

Dann müsstest Du wohl so ziemlich jede Software von Deinem System löschen, incl. dem Betriebssystem.

Es gibt immer und überall von Zeit zu Zeit Lücken die erst noch geschlossen werden müssen. Je nach Wichtigkeit und Schweregrad sollte man darauf entsprechend reagieren. Wie hier schon ausgiebig diskutiert gibt es grundlegenden Dinge die man beachten und realisieren sollte und mehr kann man einfach nicht machen. Es ist immer ein "Hase und Igel Spiel".

VG Jim

 

[Synchrotron]

Solche Schwachstellen können in JEDEM System gefunden werden, einschließlich Router und Firewalls. Alles schon da gewesen. Deshalb über iobroker herzufallen ist sinnlos.

Also Regel 1: Kein System ist ganz sicher, daher ist ein geschütztes Backup manchmal die letzte Rückfallebene.

Regel 2: Je mehr Applikationen von außen erreichbar sind, um so größer ist die Wahrscheinlichkeit, dass in einer davon eine Lücke besteht. Die muß gefunden werden, der Hersteller muß eine Abhilfe programmieren, die muß ausgerollt werden, die Benutzer müssen sie installieren. Habe ich 10 Ports offen, mit 10 direkt erreichbaren Applikationen, habe ich 10 mögliche Angriffsziele. Daher immer hinterfragen, ob eine Applikation überhaupt aus dem Internet erreichbar sein muss, und wenn ja, wie.

Regel 3: Wenn man selbst zugreifen will, oder ein definierter Kreis, dann kann man über einen einzigen VPN-Zugang den Zugriff auf alle Applikationen bündeln. VPN (IPSec, OpenVPN, Wireguard) gilt insgesamt als sicher, wenn korrekt eingerichtet. Dann sind nicht 10 Ports offen, sondern nur einer, und dahinter liegt der VPN-Server und die Firewall. Daher prüfen, ob man alles oder möglichst viel über einen VPN-Zugang einrichtet.

 

[Speicherriese]

Dann müsstest Du wohl so ziemlich jede Software von Deinem System löschen, incl. dem Betriebssystem.

Es gibt immer und überall von Zeit zu Zeit Lücken die erst noch geschlossen werden müssen. Je nach Wichtigkeit und Schweregrad sollte man darauf entsprechend reagieren. Wie hier schon ausgiebig diskutiert gibt es grundlegenden Dinge die man beachten und realisieren sollte und mehr kann man einfach nicht machen. Es ist immer ein "Hase und Igel Spiel".

VG Jim

Sehe ich anders. Wenn man weiß, woher die Schwachstelle in einem System kommt (ioBroker) dann lasse ich diese doch nicht weiterlaufen, bis irgendwann mal der Hersteller die Lücke geschlossen hat. Vor allem bei so einem supergau, vertrau ich doch so einer Software nie und nimmer mehr. Weg damit

 

[Penthys]

Gestern habe ich mir folgende Frage gestellt: Kann man unter DSM verschlüsselte "gemeinsame Ordner" (nochmal) verschlüsseln?
Die Überprüfung ergab die Antwort: anscheinend nicht - es lässt sich wohl kein Passwort eintragen!
Das müsste doch bedeuten, dass wenn man regulär immer mit bereits verschlüsselten (eingehängten) "gemeinsamen Ordnern" arbeiten würde, könnte ein Hacker Ordner nicht verschlüsseln, da er sie vorher entschlüsseln müsste (ist ein längerer Vorgang) und auch die dazu benötigten Passwörter kenne müsste.
Diese könnten sich aber auf einem abgezogenen USB-Stick befinden.
Kann das so bestätigt werden oder habe ich etwas übersehen?

Wenn die verschlüsselten Ordner angehängt sind, stehen sie ja in lesbarer Form bereit. Ich würde die Inhalte dann in neue verschlüsselte Ordner verschieben und die alten Ordner löschen. Dann kann man auch nur noch mit meinem neuen Schlüssel an die Daten ran.

 

[SAMU]

Ist längst im Forum erfolgt. Reaktion derzeit Zero.

Hast du mir da mal einen Link? Finde es nicht

 

[blurrrr]

.oO(... und täglich grüsst das Murmeltier ?)

wenn die durch den Port angesprochenen Applikationen potentiell unsicher sind

(denn die Ports können da mal so garnichts für )

Genauso wie bei ioBroker irgendwo eine Lücke sein muss

Falsch konfigurieren reicht schon völlig aus, mit "Lücken" hat das dann eher weniger zu tun

Um Kohle zu machen?!

Genau so sieht es aus... Manch einer ist sogar noch mit "sportlichem" Charme dabei (dann geht es nicht um's Geld). Da es sich aber auch etabliert hat (das "sportliche") und Firmen mittlerweile sogar freiwillig Geld dafür zahlen (Bug-Bounty, u.a. Synology, Google, Amazon, Ebay und Co.), sitzen die mit dem sportlichen Ansatz mittlerweile auch dran und verdienen darüber ihr Geld. Pro Lücke können dann auch schon mal 5-stellige Beträge fliessen Die "anderen" handeln entweder "direkten" Auftrag (z.B. Industriespionage, etc.), oder sind eher die "Kleinkriminellen", spammen einen zu, kaufen irgendwo 0-Day-Exploits ein und versuchen es dann ganz blöd via z.B. Erpressung (und/oder verkaufen die erlangten Daten).

Solche Schwachstellen können in JEDEM System gefunden werden, einschließlich Router und Firewalls. Alles schon da gewesen. Deshalb über iobroker herzufallen ist sinnlos.

? Definitiv... Ist eigentlich "völlig" egal, was man sich da jetzt raus pickt. Da muss man nur mal durch die Historien gehen, es findet sich "überall" etwas. Dienste sind Software, Software wird von Menschen gemacht, Menschen machen Fehler, Ende. Wäre vielleicht garnicht mal verkehrt, wenn die ungläubigen hier sowas mal machen. Wie wäre es z.B. mal hier mit? Tut mir leid, aber die schöne bunte Traumwelt ist und bleibt leider auch nur das was sie ist: eine schöne bunte Traumwelt.... Jetzt aber nicht direkt das NAS aus dem Fenster werfen ? Also ... nicht so:

Vor allem bei so einem supergau, vertrau ich doch so einer Software nie und nimmer mehr. Weg damit

... weil ansonsten hat man dann bald nix mehr mit Netzwerkanbindung im Haus?

 

[Thonav]

Hier der Link zum ioBroker Forum - ganz unten findet sich der Post...
https://forum.iobroker.net/topic/17258/hinweis-gefahren-durch-port-freischaltungen/92