SynoLocker TM - Daten auf NAS gecrypted worden durch Hacker

[luddi]

Ist 500/udp und 4500/udp für VPN Standard?

Das müssten die Standard Ports für L2TP over IPSec sein.

Ich habe die Info hier gefunden:L2TP-based VPN connection instructions

Ports used: L2TP/IPSEC uses UDP 500 for the the initial key exchange, protocol 50 for the IPSEC encrypted data (ESP), UDP 1701 for the initial L2TP configuration and UDP 4500 for NAT traversal.

Selbst im VPN Package von Synology werden diese Ports verwendet.
Auszug aus dem DSM help: Please check the port forwarding and firewall settings on your DiskStation and router to make sure the UDP port 1701, 500, and 4500 are open.

 

[Toby-ch]

@Erkan75
Hm die Regional Firewall ist ja was tolles jemand der eine DS Knacken und verschlüsseln kann wird sich an einer Go Firewall nicht die zähne ausbeissen.
Meine DS ist dicht und Backups Laufen auf einen Backup Server mit windoof
@petehild
Das ist mir schon klar aber die DS Kann sich ja auch auch die Updates über das Internet selber saugen. Und wen da der Schwachpunkt ist haben alle ein Problem...

 

[gungam]

Also mal ganz davon abgesehen, dass auch ich nicht glaube, dass nach einer Zahlung irgendetwas passiert, das die Daten wiederbringen könnte...

Wie kommt ihr da drauf, dass sich der Bösewicht wieder am System anmeldet um die Daten zu entschlüsseln ( wie gesagt, es würde sich eh keine sau melden...)
Wenn da überhaupt ne Chance von 1 : 100000000000000000000000000 existiert, dann bekommt ihr auf irgendeinem weg nen Schlüssel mitgeteilt und könnt selber zusehen wie ihr damit die Daten wieder bekommt.
Was wie gesagt eh nicht passieren wird, nur um hier keine falschen Hoffnungen zu wecken...

Und ganz ehrlich... Wer gewerblich arbeitet und keine regelmäßigen Backups macht... Der sollte dringend die EDV fragen an nen Profi abgeben oder über ein Angestelltenverhältnis nachdenken

 

[süno42]

danke für die Antwort. Sind das die Standard-Ports für VPN oder ist das Fritzbox-spezifisch?

Das ist der IPsec-Protokollstandard, da das VPN der Fritzbox auf IPsec setzt. IPsec setzt genauso wie TCP und UDP direkt auf dem IP-Protokoll auf und ist somit weder in TCP noch UDP eingekapselt. Die verwendeten Protokolle sind ESP (Encapsulating Security Payload) und AH (Authentication Header).

Die UDP-Ports 500/4500 sind für IKE (Internet Key Exchange Protocol) standardisiert, welches die Schlüsselverwaltung für IPsec übernimmt. UDP-Port 4500 ist ein Ausweichport.

Ergänzung:
Was ich vorhin vergessen hatte zu erwähnen: IPsec benötigt auch für den Tunnel UDP-Port 500/4500, sofern es unter Verwendung von NAT-Traversal eingesetzt wird, dann werden alle IPsec-Pakete nochmals in UDP-Pakete eingekapselt. Meine vorherige Aussage war also nicht ganz korrekt.
Bei NAT-Traversal ist allerdings kein Einsatz des AH-Protokolls möglich.



Viele Grüße
Süno42

 

[Benares]

Danke für die Info.

Das hört sich ja schon mal recht sicher an. Wenn die offenen UDP-Ports nur zum Key Exchange genutzt werden und die eigentlich Kommunikation über ein eigenes Protokoll läuft, sollte da ja keine Lücke entstehen.

 

[Merthos]

Es muss sich niemand zum Entschlüsseln auf der DS wieder anmelden. Du kriegst einen Download für ein Programm und den Schlüssel. Beides via Tor (und wahrscheinlich eh noch ein Botnetz dahinter). Von daher ist das Entdeckungsrisiko minimal.

Und ja, ich würde davon ausgehen, dass man was kriegt. Die Jungs brauchen solche "positiven" Nachrichten, sonst zahlt irgendwann keiner mehr.

 

[süno42]

Das müssten die Standard Ports für L2TP over IPSec sein.

[...]
Selbst im VPN Package von Synology werden diese Ports verwendet.
Auszug aus dem DSM help: Please check the port forwarding and firewall settings on your DiskStation and router to make sure the UDP port 1701, 500, and 4500 are open.

Die Ports 500/4500 haben erst mal nichts mit L2TP zu tun, letzteres wird nur in IPsec mithilfe des UDP-Protokolls eingekapselt. Und bitte kein UDP-Port 1701 nach außen öffnen bzw. am Router weiterleiten, dies ist nicht notwendig.


Viele Grüße
Süno42

 

[Waldschrat]

... Ich habe bewusst nur sehr wenige nötige Ports offen, alles ausser D, A, CH verbannt und eine vernünftige Passwortvorgabe meiner User. Ich legs darauf an

Kannst Du mir bitte sagen wie Du alle ausser D, A und CH ausschliesst?

Danke

 

[behlzama]

uiuiuui

obwohl ich grad im urlaub bin und die nas schon brauche, fahre ich das system mal herunter, bis ein patch oder andere entwarnungen erscheinen

dann halt eine woche ohne nas

 

[Frogman]

... Ich hatte noch nie So ein Trojaner aber bei den Windows 7 Versionen konnte man den Löschen und die Daten waren gar nicht verschlüsselt.

Mann mann, da werden ja jetzt Böcke geschossen hier... so spät ist es doch noch gar nicht.

Was mich allerdings sehr verwundert ist die Verharmlosung, die hier aufkommt - wenn sie jetzt auch im Nachhinein kommt. Dann ist man ja immer klüger, nicht wahr...?!
Ich möchte jetzt mal nicht daran denken, wie es aussehen würde, wenn nicht gleich bei Bekanntwerden darüber diskutiert und gewarnt worden wäre, alle sich in Sicherheit gewähnt hätten und nun auf die nette Botschaft schauen würden, weil eine aktuellere Lücke genutzt worden wäre. Bei der gewissenhaften Anfertigung von Backups, von der wir hier im Forum ja immer wieder eben nicht lesen, wäre das Gejammer wohl groß.
Ganz ehrlich - seid froh, dass offenbar hier nur wenige betroffen sind, die eine ältere Version fahren, und dass die Verursacher des Miners vor ein paar Monaten nicht ein wenig fieser und versierter waren!

@Puppetmaster
Und dabei finde ich es ebenfalls legitim, was Du zu Deiner DS schreibst - denn Du weißt, was Du da tust. Leider gilt das für viele andere nicht.

 

[luddi]

@Süno42
Danke für die Erklärung.
Und für was ist dann der 1701 Port gut? Bzw. du sagst er ist nicht notwendig, welche Aufgabe soll er denn erfüllen?

Gruß
luddi

 

[süno42]

Danke für die Info.

Das hört sich ja schon mal recht sicher an. Wenn die offenen UDP-Ports nur zum Key Exchange genutzt werden und die eigentlich Kommunikation über ein eigenes Protokoll läuft, sollte da ja keine Lücke entstehen.

Das läßt sich so pauschal nicht sagen. Es sind immer zweierlei paar Schuhe, der Protokollentwurf und die Umsetzung. Aber das Protokoll ist schon längere Zeit erprobt. Eine bekannte Umsetzung für Linux ist beispielsweise Strongswan.


Viele Grüße,
Süno42

 

[klarglas789]

Hallo,

ich bin heute auf die Thematik aufmerksam geworden und hab so über mein Backup nachgedacht. Meine beiden NAS Systeme kopieren über die Option "Datensicherung" die Daten ins Backup, d.h. aber das die verschlüsselten Dateien auch im Backup landen :-( . Ich hab die Option "gesicherte Daten am Zielort immer beibehalten" aktiviert, hilft mir das? Oder werden wirklich nur gelöschte Daten beibehalten, aber veränderte überschrieben?

Danke
Gruß Markus

 

[Erkan75]

Kannst Du mir bitte sagen wie Du alle ausser D, A und CH ausschliesst?

Danke

Ihr seid ja auch Erbsenzähler ... klar sperrt die Regio-Firewall einen Hacker nicht aus! Es ist nur ein kleiner Teil der Barrieren, die man einbauen kann. Zumindest für die Script-Kiddis, die sich aus der Computer-Bild das neuste Hacker-Tool installiert haben und von einem Proxy sowieso noch nie was gehört haben.
Seit dem ich alleine diese regionale Firewall aktiviert habe, habe ich 80% weniger Angriffsversuche ....
Und nun sperrt mal weiter Eure Büchsen - zieht den Stecker ... und schlaft mal drüber, warum ihr dann eigentlich das Ding ins Netz stellt, wenn ihr es auch ohne Probleme offline setzen könnt ... gute Nacht

@ Waldschrat
Falls die Frage ernst gemeint war ... unter Sicherheit, Firewall kannst Du seit DSM 5 auch regionale Zugriffe erlauben, oder verbieten. Zu beachten (womit ich auf die Nase gefallen bin), DHCP-Server, Mail-Server müssen explizit natürlich komplett aufgemacht werden, falls benutzt.

 

[Fossibaer75]

Hallo,
habe eben den Heise Artikel gelesen und erst einmal alle Ports für meine DS auf dem Router geschlossen außer die für VPN (L2TP/IPsec).
Wie ich das verstanden habe ist noch nicht ersichtlich über welche Ports der Angriff kam, oder?
Kann ich mich noch irgendwie absichern?

Vielen Dank
Fossi

 

[TheGardner]

Jep! Veränderte werden überschrieben! Du müsstest für jede veränderte Datei nen neuen Namen vergeben - dann würde das Backup die alte natürlich behalten! Aber Dein Backup wird so nach und nach immer Dicker! Und ehrlich gesagt - was willst Du eigentlich mit den längst gelöschten Daten noch? Die hattest Du doch nicht ohne Grund irgendwann mal gelöscht! Ne Zeit lang aufbewahren ist gut und schön, aber Du musst Dir ja dann immer die Mühe machen und alles nach ner Zeit nochmal filzen, wo Du Altbestände im Backup hast, die wegkönnen!

 

[Waldschrat]

@ Waldschrat
Falls die Frage ernst gemeint war ... unter Sicherheit, Firewall kannst Du seit DSM 5 auch regionale Zugriffe erlauben, oder verbieten. Zu beachten (womit ich auf die Nase gefallen bin), DHCP-Server, Mail-Server müssen explizit natürlich komplett aufgemacht werden, falls benutzt.

Ist absolut Ernst gemeint, genau auf die 80% bin ich aus +Ports schliessen +externe Backup-Disk auswerfen +Zugriff über VPN erhöht meinen Nachtschlaf enorm, danke für den Hinweis.

Erbsenklauber

 

[süno42]

@Süno42
Danke für die Erklärung.
Und für was ist dann der 1701 Port gut? Bzw. du sagst er ist nicht notwendig, welche Aufgabe soll er denn erfüllen?

So war das nicht gemeint, es wird keine Weiterleitung am Router bzw. Öffnung der Routerfirewall für diesen Port benötigt. Das UDP-Paket mit diesem Port ist vollkommen in IPsec eingekapselt und somit für den Router (bis zu den Endpunkten) transparent.

Ich vermute mal, die Einkapselung von L2TP in UDP ist historisch bedingt, da es früher auch ohne Verschlüsselung zum Einsatz kam und für Firewalls durchlässig sein mußte. Wenn ich mich jetzt nicht zu weit aus dem Fenster lehne, ist eine Einkapselung in UDP nicht mehr zwingend notwendig. Nur müssen beide Endpunkte die gleiche Sprache sprechen.


Viele Grüße
Süno42

 

[klarglas789]

Aber Dein Backup wird so nach und nach immer Dicker! Und ehrlich gesagt - was willst Du eigentlich mit den längst gelöschten Daten noch?

Ja das stimmt, es ist eher als Sicherheit gedacht wenn man selber was versehentlich per Hand löscht und es aber erst später merkt. Aktuell sind die wichtigen Dinge eh nur Bilder, Musik und Dokumente, also eher Daten die "nur" wachsen, und selten schrumpfen, daher hält sich der Overhead in Grenzen. Ich hätte eher gehofft die Option bewahrt mich vor dem Bug hier, da noch eine unverschlüsselte Version der Daten bleibt.
Ich muss mir wohl doch Gedanken über ein Offline Backup machen.

 

[dil88]

Ich muss mir wohl doch Gedanken über ein Offline Backup machen.

Das ist eine gute Idee. Und ein besserer Ansatz, als gelöschte Files liegen zu lassen, ist m.E. die Versionierung von Time Backup.