SynoLocker TM - Daten auf NAS gecrypted worden durch Hacker

Status
Für weitere Antworten geschlossen.

ecryptFS

Benutzer
Mitglied seit
27. Feb 2013
Beiträge
305
Punkte für Reaktionen
3
Punkte
18
Ich natte auch alles und komme nur per OpenVPN drauf. Daher sehe ich das ganze entspannt. Außerdem habe ich ein Voll-Backup, das nicht im Netz hängt.

Trotzdem - ein Programm ist halt nur so gut wie sein Erfinder - und anscheinend gibt es immer klügere Köpfe. Dann warten wir mal auf ein Firmware-Update und sperren sicherheitshalber alle Ports.
 

TheGardner

Benutzer
Mitglied seit
30. Nov 2012
Beiträge
1.844
Punkte für Reaktionen
54
Punkte
74
Wenn Du etwas erreichen willst, dann wirst Du auch das VPN einer Fritzbox knacken! Irgendwie geht alles! Aber oftmals fehlt dem Hacker die Zeit, da lange rumzudoktern! Was immer wieder passieren wird sind "schnelle Attaken" also bestehende Lücken werden gefunden und Schadcode programmiert, damit man da nicht ständig hinterher glotzen muss, wenn etwas hängen bleibt!
D.h. löst Euch von der Ansicht Eure "verrammelte" Maschine könnte als einzigste gehackt werden und ihr allein den Schaden davon tragen - obwohl ihr immer versucht habt aufzupassen! Sowas passiert nicht! Wenn überhaupt, dann macht Synology ein Fehler in der Programmierung, wodurch eine Lücke entsteht - und schlussendlich sind alle davon betroffen!

Angriffe werden zu 99% immer auf Masse programmiert um den größten Schaden zu bekommen! Es wird sich nie ein Herr Meier ausgeguckt, weil den keiner Leiden kann!
 

aportmann

Benutzer
Mitglied seit
03. Jul 2012
Beiträge
123
Punkte für Reaktionen
0
Punkte
22
Hallo zusammen

Ich greife auf meine Synology per OpenVPN zu. Ich habe nun die Portweiterleitung im Router deaktiviert. Was mich aber fast zum verweifeln bringt: per iPhone komme ich nicht mehr auf den Server, was korrekt ist. Mein externer Mac auf der Arbeit hingegen schon.

Bin ein bisschen Ratlos, wieso das möglich ist. Hat mir jemand einen Tip?


Gruss Andi
 

TheGardner

Benutzer
Mitglied seit
30. Nov 2012
Beiträge
1.844
Punkte für Reaktionen
54
Punkte
74
Kommt drauf an, was Du da für einen Link im Browser stehen hast! Klingt fast so, als würdest Du am VPN vorbei auf den Server kommen - d.h. den Zugriff von aussen (noch) eingeschaltet haben!

PS.: Wirklich genial, wieviele Anmeldebildschirme von DSen man auf Google sehen kann! Denen gehört allen son Locker auf den Hals geschickt! Bloß gut, dass das allein noch nicht ausreicht!
 

Telaran

Benutzer
Mitglied seit
30. Jul 2010
Beiträge
19
Punkte für Reaktionen
0
Punkte
1
Also wie ich schon oben anmerkte hätte Synology das mit eigenen Honeypots bereits am SA merken können und dann zumindest mal bis jetzt mehr Details posten können.
Zu dieser These gibt es ein paar Gedanken, welche man sich vor Augen halten sollte.
  1. Es kann also durchaus sein, dass nur gewisse IP Ranges betroffen sind
  2. Es kann sein, dass gewisse Suchmethoden verwendet wurden und nur eine Handvoll Geräte ausgespuckt wurden
  3. Kann es sein, dass die Täter wissen, welche der Kisten HoneyPots sind und diese nicht angegriffen haben (Das ganze wurde sicher nicht von Skript-Kiddies gemacht, ist also ein mögliches Szenario)

Dass die Informationspolitik in diesem Fall mangelhaft ist, müssen wir nicht diskutieren, aber... wären alle Synology Geräte betroffen, hätte Synology wahrscheinlich bereits reagiert (so wie sie es bei dem Heartbleed Bug getan haben). Auch wenn ich nun meine Kiste gestern abgetrennt habe, vermute ich mal, dass es vornehmlich ältere DSM Versionen betrifft. Riskieren möchte ich trotzdem nichts.

Wir kommen aber nicht umhin, uns langsam an solche "Dinger" zu gewöhnen. Ob nun Mail-Account Spionage oder Geldbeschaffung durch Locker Progs - das wird in den kommenden Jahren immer weiter zur Perfektion getrieben werden! Und ob wirs wollen, oder nicht
Auch wenn ich das ungern tue: Muss ich dir recht geben.
Die nachkommende Frage ist aber -> Was tun wir und damit meine ich nicht wir (IT Versierte) sondern wir (auch DAU's).

Weil VPN ist noch nicht überall praktikabel (Firmen und Öffentliche Netzwerke, welche es blocken). Dann ist die Frage VPN vom Router (Wo einige Hersteller auch bewiesen haben, dass sie Probleme damit haben können) oder von der DSM (was ja wieder fast ins Absurde führt) oder doch noch irgend eine Dritt-Hardware wie Monowall/Firewall (wo aber ebenfalls Riskant sein kann).
Oder das NAS nach aussen gar nicht erreichbar machen (was den Sinn/Nutzen eines solchen NAS ebenfalls ins absurde führt).

Vor allem: Was wäre DAU Praktikabel?
 

alexserikow

Benutzer
Mitglied seit
23. Feb 2011
Beiträge
877
Punkte für Reaktionen
0
Punkte
36
Ich nutze das VPN der Fritz Box. Welche Implementierung da genau hinter steckt weiß ich nicht und ich weiß daher auch nicht, ob es wirklich sicher ist oder die Version nicht auch schon total veraltet und voll von Sicherheitslöchern ist. Im Endeffekt ist ein VPN ja auch nichts anderes ein Service mit offenen Ports, welcher Angriffsfläche bietet.
Das VPN der FB über PC kann man nur mit FritzFernzugang nutzen und einrichten, oder geht das auch ohne?
 

ecryptFS

Benutzer
Mitglied seit
27. Feb 2013
Beiträge
305
Punkte für Reaktionen
3
Punkte
18

aportmann

Benutzer
Mitglied seit
03. Jul 2012
Beiträge
123
Punkte für Reaktionen
0
Punkte
22
Kommt drauf an, was Du da für einen Link im Browser stehen hast! Klingt fast so, als würdest Du am VPN vorbei auf den Server kommen - d.h. den Zugriff von aussen (noch) eingeschaltet haben!

im browser steht die lokale ip plus der port. ich hatte erst noch irgendwas cache-mässiges im kopf und in tunnelblick alle prozesse beendet und den kompletten mac neu gestartet.
doch auch dann kam ich weiterhin auf den server und konnte auch durch alle menüs navigieren.

nun 5 minuten später bekommen ich (so wie ich es wollte) nicht mehr auf den server.

spooky, aber scheint zu funktionieren :)


gruss andi
 

ottosykora

Benutzer
Mitglied seit
17. Apr 2013
Beiträge
8.805
Punkte für Reaktionen
1.124
Punkte
288
Lieber ottosykora

J Nicht jeder sucht nach einem Forum im Netz oder gar in einem fremdsprachigen Forum.[/B] Ich versuche mich immer auf der offiziellen Seite zu informieren und da würde mich ein solches - wenn auch wie Du es nennst "nichts beinhaltendes" Statement - noch weniger ist wie Synology GAR NICHTS zu sagen resp. nur über ein Forum!!!

na ja, wenn du erwartest dass jede Firma alle seine Nachrichten in die 197 Sprachen von UN übersetzt...
 

rubinho

Benutzer
Mitglied seit
06. Jun 2009
Beiträge
62
Punkte für Reaktionen
4
Punkte
8
Ich nutze das VPN der Fritz Box. Welche Implementierung da genau hinter steckt weiß ich nicht und ich weiß daher auch nicht, ob es wirklich sicher ist oder die Version nicht auch schon total veraltet und voll von Sicherheitslöchern ist. Im Endeffekt ist ein VPN ja auch nichts anderes ein Service mit offenen Ports, welcher Angriffsfläche bietet.

Die Fritzbox benutzt als VPN Verfahren IPsec mit IKE V1 im Aggressiv-Mode und Preshared-Key.

Ja, dieses VPN Verfahren ist nicht die Sicherste Methode, es gibt da einiges was sicherer ist.

Aber...
Es ist immer noch Besser mittels Fritzbox Vpn eine verschlüsselte Verbindung ins Heimnetz aufzubauen, als Nativ mittels Portforwarding auf die Systeme hinter dem Router zuzugreifen.

Für VPN benötigt man nur einen einzigen offenen Port um auf alle Systeme zuzugreifen, bei Portforwarding je ein Port für Dienst und Device auf das man zugreifen will.

Es ist wie beim erstürmen einer Festung. Es ist besser man kann sich nur auf ein Tor konzentrieren um den Gegner abzuwehren, als auf mehrere Tore.
 

TheGardner

Benutzer
Mitglied seit
30. Nov 2012
Beiträge
1.844
Punkte für Reaktionen
54
Punkte
74
Nee, dann ist alles okay! Das hab ich auch schon erlebt! Da hat der Mac quasi mit sich selbst und seinen Caches gesprochen! Du hättest etwas aufrufen müssen (Systemsteuerung), was Du nicht so oft genutzt hattest! Dann wäre er schneller ins trudeln gekommen, weil er es Dir hätte nicht mehr anbieten können!
 

Frogman

Benutzer
Mitglied seit
01. Sep 2012
Beiträge
17.485
Punkte für Reaktionen
8
Punkte
414
Ein Statement gibts deshalb nicht, weil sie sich noch gar nicht darüber klar sind, wo die Lücke ist. Und sinnlos öffentlich "rum vermuten" werden sie nicht!
Sorry, aber das geht schlichtweg an der Sache vorbei. Niemand erwartet hier zum jetzigen Zeitpunkt ein Statement im Hinblick auf Ursachen! Es geht um eine proaktive und gute Informationspolitik - dazu wäre hier zumindest eine Information angebracht, dass es aktuell ein solches Angriffsszenario gibt, man nach Möglichkeit die externen Zugriffsmöglichkeiten vorübergehend deaktivieren und - wenn es ungwöhnlich hohe CPU-Last auf der DS gibt - man diese ausschalten sollte.
 

alexserikow

Benutzer
Mitglied seit
23. Feb 2011
Beiträge
877
Punkte für Reaktionen
0
Punkte
36

TheGardner

Benutzer
Mitglied seit
30. Nov 2012
Beiträge
1.844
Punkte für Reaktionen
54
Punkte
74
Und BINGO! Über die Google Suche einen gefunden, dens erwischt hat:
 

jahlives

Benutzer
Mitglied seit
19. Aug 2008
Beiträge
18.275
Punkte für Reaktionen
4
Punkte
0
Es ist wie beim erstürmen einer Festung. Es ist besser man kann sich nur auf ein Tor konzentrieren um den Gegner abzuwehren, als auf mehrere Tore.
Single Point of error wäre hier ein Stichwort. Ein Nachteil beim VPN: wenn der geknackt ist kann man so ziemlich alles erreichen als wäre man im LAN. Wer hat schon Firewall Regeln um sich gegen sein VPN zu schützen?
Zudem wenn man öffentlich erreichbare Dienste hat bringt ein VPN nichts, da kann man gleich das Netzwerkkabel ziehen. Oder wie bringst du einen externen Mailserver dazu via VPN auf Port 25 deines Mailservers auf der DS zuzugreifen?
Es gibt keine "beste" Lösung in der IT. Es ist IMMER ein Abwägen und hängt von den Voraussetzungen (z.B. angebotene Dienste) ab.
@Gardener
hör auf hier IPs zu posten, die dir nicht gehören!
 

alexserikow

Benutzer
Mitglied seit
23. Feb 2011
Beiträge
877
Punkte für Reaktionen
0
Punkte
36
PS.: Wirklich genial, wieviele Anmeldebildschirme von DSen man auf Google sehen kann! Denen gehört allen son Locker auf den Hals geschickt! Bloß gut, dass das allein noch nicht ausreicht!
Hab mal geschaut und auf einen Link geklickt - und siehe da, der Synolocker:
 
Zuletzt bearbeitet von einem Moderator:

jahlives

Benutzer
Mitglied seit
19. Aug 2008
Beiträge
18.275
Punkte für Reaktionen
4
Punkte
0
@all
postet hier keine IPs die euch nicht gehören!!
 

Benares

Benutzer
Sehr erfahren
Mitglied seit
27. Sep 2008
Beiträge
13.606
Punkte für Reaktionen
3.634
Punkte
468
Und BINGO! Über die Google Suche einen gefunden, dens erwischt hat:
Ist zwar sonst nicht so meine Art, aber ich denke das ist von allgemeinem Interesse
Code:
Scanning x.y.z (a.b.c.d) [1000 ports]
Discovered open port 443/tcp on a.b.c.d
Discovered open port 21/tcp on a.b.c.d
Discovered open port 80/tcp on a.b.c.d
Discovered open port 873/tcp on a.b.c.d
Discovered open port 631/tcp on a.b.c.d
Discovered open port 5000/tcp on a.b.c.d
Discovered open port 5432/tcp on a.b.c.d
Discovered open port 548/tcp on a.b.c.d
 

jahlives

Benutzer
Mitglied seit
19. Aug 2008
Beiträge
18.275
Punkte für Reaktionen
4
Punkte
0
@alexserikow
das gibt dir trotzdem nicht das Recht eine IP öffentlich zu posten, die dir nicht gehört. Sonst stell ich deine IP hier rein! :)
 
Status
Für weitere Antworten geschlossen.
 

Kaffeautomat

Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.

Als Dankeschön schalten wir deinen Account werbefrei.

:coffee:

Hier gehts zum Kaffeeautomat