SynoLocker TM - Daten auf NAS gecrypted worden durch Hacker

Status
Für weitere Antworten geschlossen.

NEMA

Benutzer
Mitglied seit
23. Jan 2010
Beiträge
34
Punkte für Reaktionen
0
Punkte
6

WebBuddha

Benutzer
Mitglied seit
05. Apr 2009
Beiträge
88
Punkte für Reaktionen
0
Punkte
6
Das mag in einer Stadt kein Problem sein, am Land ist man da dann doch mehr auf Infos aus dem Netz angewiesen.
Das ist dank Teamviewer und Co. auch kein großes Problem mehr. Es scheitert meist daran das es dem betreiber eher zu "teuer" ist um sich diese Dienstleistung zu gönnen und beruhigter schlafen zu können.
Es macht die Sache aber ebenfalls entspannter wenn man sein "Gegenüber" persöhnlich kennt, das stimmt.
 
Zuletzt bearbeitet:

rhiermei

Benutzer
Mitglied seit
05. Aug 2014
Beiträge
2
Punkte für Reaktionen
0
Punkte
1
Hilfer zur Konfiguration einer Diskstation

Ich meine so eine Kurzanleitung für die wichtigsten (oder häufigsten) Punkte. Ich tippe mal, daß man am Anfang die Photostation, die Filestation, den Clouddienst nutzen und vielleicht noch eine kleine Homepage basteln will. Die anderen Möglichkeiten werden dann später Schritt für Schritt dazukommen, aber da hat man dann ja schon etwas Erfahrung.


Ich habe zum Einstieg nach "idomix synology youtube" gegoogelt und sehr hilfreiche und ausführliche Anleitungen gefunden, mit denen selbst ein Anfänger gut zurecht kommen kann.
Da wird unter anderem auch die Konfiguration der Firewall erklärt.
 

Frogman

Benutzer
Mitglied seit
01. Sep 2012
Beiträge
17.485
Punkte für Reaktionen
8
Punkte
414

georgum

Benutzer
Mitglied seit
10. Jan 2011
Beiträge
265
Punkte für Reaktionen
0
Punkte
16
Sicherheit des eigenen Netzes

Hi an alle,

habe diese Thread bis ca. Seite 35 gelesen und mir meine Meinung gebildet.
Unabhängig davon wie der aktuelle "Angriff" von statten geht, bitte kümmert euch doch mehr um die Sicherheit in eurem Netzwerk und die euerer Daten.

Generelle Regeln die man einhalten sollte:

Immer eine vernünftige Firewall verwenden, und da meine ich keinen Fritz Router oder ähnliches.
Verwendet nur die nötigsten Ports (ich habe z.B. nur den SSL Port (443) zu meiner Syno offen, auf der FW mache ich dann die dementsprechenden Regeln und kann immer noch alle Funktionen der DS nutzen.
Verwendet Sicherheitsmechanismen wie IPS und wenn möglich APT Systeme.
Verwendet ein 2 Stufen FW Konzept (2 Firewall unterschiedlicher Hersteller)
etc.

Und bitte definiert genau was aus eurem Netzwerk nach aussen ins Internet darf, das ist fast wichtiger als die Frage was darf rein. Das ist zwar alles ein wenig mehr Aufwand und erfordert auch ein wenig mehr KnowHow als ein Großteil der User haben, aber es zahlt sich aus.

PS: Als 2. Stufe Firewall würde ich euch eine Sophos UTM empfehlen, ist ein Spitzen Produkt und kostet auch Schweinemäßig Geld, hat aber den rieseigen Vorteil, dass man als Privatuser mit max. 50 internen IP's die komplette UTM inkl. aller Funktionalitäten komplett gratis verwenden darf. Inkl Virenschutz für interne Clients.
http://www.sophos.com/en-us/products/unified-threat-management.aspx
http://www.sophos.com/en-us/products/free-tools/sophos-utm-home-edition.aspx

Das Ding kann man virtuell betreiben, bzw. auf einen z.B. HP Micro Server installieren (Kostenpunkt komplett ca. € 250.-)

Greets
Georg
 
Zuletzt bearbeitet:

Frogman

Benutzer
Mitglied seit
01. Sep 2012
Beiträge
17.485
Punkte für Reaktionen
8
Punkte
414
Ja, eine Installationsanleitung, die einem Neuling wie mir Schritt für Schritt erklärt, was man tun und was man lassen sollte. ...
Also im Grundzustand ist die DS so eingestellt, dass sie keiner Gefahr ausgesetzt ist - eben weil nicht extern erreichbar. Jeder, der davon ausgehend etwas an der Konfiguration ändert, weil er bestimmte Funktionalitäten nutzen will, sollte und muss sich darüber informieren, was dahinter steckt. Ständig kommen lediglich die Fragen nach Schritt-für-Schrit-Anleitungen - die aber eher gar nichts bringen, wenn Leute sie nutzen, die gar nicht wissen, was sie da freischalten! Um es klipp und klar zu sagen: keine Anleitung entläßt den Nutzer, besser gesagt den Betreiber einer DS, aus seiner Verantwortung, sich auch mit der Materie zu beschäftigen!
 

Merthos

Benutzer
Mitglied seit
01. Mai 2010
Beiträge
2.709
Punkte für Reaktionen
2
Punkte
84
Immer eine vernünftige Firewall verwenden, und da meine ich keinen Fritz Router oder ähnliches.
Unfug. Es gibt nix was durch ein NAT durchkommt (und das macht jeder Router), es sei denn man hat die Ports explizit freigeschaltet (was man dann auch in der FW machen muss).
 

sEIGu

Benutzer
Mitglied seit
23. Sep 2010
Beiträge
20
Punkte für Reaktionen
0
Punkte
0
Auch wenn's nicht wirklich zu dem Thema hier passt: Mich kotzen diese Verbrecher da draußen mittlerweile dermaßen an, das kann sich keiner Vorstellen. Es ist diesen ******** vollkommen sche... egal, was für einen Schaden sie anrichten. Wenn ich alleine die Anzahl der Benutzer mal auf den Schirm rufe, die uns ihre PCs/Laptops in den Laden getragen haben, um GVU/GEMA/sonstirgendeinegrütze von der Kiste kratzen zu lassen... (ja, leider haben wir an den ganzen Sperr- Verschlüsselungsdingern auch mitverdient). Und es waren eben auch Totalverluste an Datenbeständen dabei.

Einen davon müsste man mal in die Finger bekommen.

Ich habe gerade meine Synology vom Netz getrennt und ausgeschaltet. Und direkt nochmal 2 4TB-Platten zur externen Sicherung bestellt.
 

georgum

Benutzer
Mitglied seit
10. Jan 2011
Beiträge
265
Punkte für Reaktionen
0
Punkte
16
Hi Merthos,

nix Unfug, ein simpler Router macht auch per NAT nur ein Portforwarding.
Da ist nichts mit SPI, IPS, APT, etc. und damit hast du keine Sicherheit ausser das du einschränkst auf welche Ports zugegriffen werden kann.
 

Frogman

Benutzer
Mitglied seit
01. Sep 2012
Beiträge
17.485
Punkte für Reaktionen
8
Punkte
414
...Und bitte definiert genau was aus eurem Netzwerk nach aussen ins Internet darf, das ist fast wichtiger als die Frage was darf rein....
Wozu sollen bitte solche Äußerungen gut sein? Ey, kein Wunder, dass hier unbedarften User die Birne raucht, wenn sie solchen undifferenzierten Krams lesen müssen... Und abgesehen davon - klar, Du nutzt alle Funktionen der DS allein über 443 und konfigurierst dazu Regeln in der FW... mach die Leute doch nicht wuschig hier!
 

TheGardner

Benutzer
Mitglied seit
30. Nov 2012
Beiträge
1.845
Punkte für Reaktionen
56
Punkte
74
Lach! Ist wirklich verständlich für die Leute, die eh wissen, wie sie sich schützen! Nur die echten Synology-zum-Spass-Betreiber wissen damit noch immer nicht, was wichtig und richtig ist! Bin nahe dran hier irgendwo in Ruhe nen Support Thema anzufangen, aber eh ich damit fertig sein werde, ist das ganze Theater hier wieder verraucht!
 

carstenj

Benutzer
Mitglied seit
07. Sep 2009
Beiträge
28
Punkte für Reaktionen
0
Punkte
1
Hi,
Hi an alle,

Immer eine vernünftige Firewall verwenden, und da meine ich keinen Fritz Router oder ähnliches.
jeder, der ungefähr weiss wie TCP/IP funktioniert, ist mit einer (gepatchten) Fritzbox gut bedient und benötigt keine zusätzliche Firewall. Wo sollte die denn dann stehen? Außerdem ist eine Firewall nur dann wirklich sinnvoll, wenn man 100%ig weiss was man tut, und falls nicht, ist sie eher schädlich.
Verwendet ein 2 Stufen FW Konzept (2 Firewall unterschiedlicher Hersteller)
Mal ehrlich, das mögen ja versierte Benutzer hinbekommen, aber leider trifft das auf den Großteil der QNAP/Synology User eben nicht zu. Die wollen das Dingen anschalten und Spaß haben.
Und bitte definiert genau was aus eurem Netzwerk nach aussen ins Internet darf, das ist fast wichtiger als die Frage was darf rein. Das ist zwar alles ein wenig mehr Aufwand und erfordert auch ein wenig mehr KnowHow als ein Großteil der User haben, aber es zahlt sich aus.
Ebenso richtig, nur leider überfordert das viele Benutzer. Im Zeitalter von schnell installierten Apps, von denen keiner genau weiss wie da wo was im Hintergrund passiert, kannst du bei "normalen" Anwendern so einen Kenntnisstand nicht voraussetzen.

Typisches Szenario: Fritzbox dahinter, Synology, 1-2 PCs, Laptop, Smartphone und irgendein Pad. Ich möchte nicht wissen, wie viele Benutzer noch eine ungepatchte Fritzbox haben. Hier fängt das Problem doch schon an. Man müsste sich im Grunde täglich bei Heise informieren, verstehen wie TCP/IP funktioniert und ein vernünftiges Patchmanagement, auch für Zuhause, überlegen. Bei den 08/15 Geräten, die man heutzutage zuhause hat (Fernseher, Router, sämtliche Pads, Smartphones, Fernbedienungen, PCs) und den etlichen Apps die man auf den einzelnen Geräten installiert hat ist das im Grunde eine Aufgabe, für die jeder Privathaushalt einen Teilzeitadmin anstellen könnte.

Natürlich sind Tipps immer hilfreich, aber letzten Endes bekommen die meisten nur das Marketing mit, aber dass für einen reibungsfreien Ablauf ein einfaches "Plug & Play" nicht mehr ausreicht (und eigentlich hat es das nie) realisieren viele immer erst dann wenn es zu spät ist.
 
Zuletzt bearbeitet:

Puppetmaster

Benutzer
Sehr erfahren
Mitglied seit
03. Feb 2012
Beiträge
18.991
Punkte für Reaktionen
628
Punkte
484
Unabhängig davon wie der aktuelle "Angriff" von statten geht, bitte kümmert euch doch mehr um die Sicherheit in eurem Netzwerk und die euerer Daten.

Generelle Regeln die man einhalten sollte:

Immer eine vernünftige Firewall verwenden, und da meine ich keinen Fritz Router oder ähnliches.
Verwendet nur die nötigsten Ports (ich habe z.B. nur den SSL Port (443) zu meiner Syno offen, auf der FW mache ich dann die dementsprechenden Regeln und kann immer noch alle Funktionen der DS nutzen.
Verwendet Sicherheitsmechanismen wie IPS und wenn möglich APT Systeme.
Verwendet ein 2 Stufen FW Konzept (2 Firewall unterschiedlicher Hersteller)
etc.

Und bitte definiert genau was aus eurem Netzwerk nach aussen ins Internet darf, das ist fast wichtiger als die Frage was darf rein. Das ist zwar alles ein wenig mehr Aufwand und erfordert auch ein wenig mehr KnowHow als ein Großteil der User haben, aber es zahlt sich aus.

PS: Als 2. Stufe Firewall würde ich euch eine Sophos UTM empfehlen, ist ein Spitzen Produkt und kostet auch Schweinemäßig Geld, hat aber den rieseigen Vorteil, dass man als Privatuser mit max. 50 internen IP's die komplette UTM inkl. aller Funktionalitäten komplett gratis verwenden darf. Inkl Virenschutz für interne Clients.
http://www.sophos.com/en-us/products/unified-threat-management.aspx
http://www.sophos.com/en-us/products/free-tools/sophos-utm-home-edition.aspx

Das Ding kann man virtuell betreiben, bzw. auf einen z.B. HP Micro Server installieren (Kostenpunkt komplett ca. € 250.-)

Ah, ok, dann erkläre das doch jetzt auch noch einmal so, dass auch der DAU, also der studierte Germanist oder Bäckergeselle (ohne diesen jetzt im speziellen irgendetwas unterstellen zu wollen! :) ) das versteht und weiß, was zu tun ist!

Betroffen sind hier in der Hauptsache Privatanwender ohne den oftmals notwendigen Backround. Die meisten wollen eine schöne Lösung für das Streaming von Video, das Bereitstellen von kleinen Webseiten, das Zeigen von Fotos, oder das simple Filesharing mit dem heimischen NAS.
Genauso propagiert Synology auch seine Produkte, wenn ich dazu ein Informatikstudium oder ähnliches absolvieren muss, dann lass ich es im Zweifel doch lieber...
Die DS ist für viele die nette Ergänzung zum Smartphone und zu facebook und Co.

Jemand der sein Handwerk versteht, der wird kaum eine DS offen wie ein Scheunentor herumstehen lassen.

Muss ich jetzt auch jedem nochmal sagen, dass man PINs nicht auf Geld-/Kreditkarten schreibt? Seine Haustür besser abschließt, wenn man geht, etc.?

Hier ist der gesunde Menschenverstand gefragt! Wer nicht mal ein Backup seiner wichtigsten Daten vorhält... Sorry, da mag ich nicht mehr so wirklich Mitleid aufbringen. Wir leben im Jahr 2014 und all das gab es schon hunderte Male auf Windows und Co. Warum also jetzt diese Verwunderung? Es ist nix neues passiert! Im Gegenteil: spätestens seit E.Snowden solltest du wissen, dass du nicht mehr Herr deiner (öffentlichen) Daten bist.

Edit: wurde ja offenbar auch schon von anderen so aufgefasst und wiedergegeben. :)
 
Zuletzt bearbeitet:

dil88

Benutzer
Contributor
Sehr erfahren
Mitglied seit
03. Sep 2012
Beiträge
30.674
Punkte für Reaktionen
2.077
Punkte
829
Man müsste sich im Grunde täglich bei Heise informieren, verstehen wie TCP/IP funktioniert und ein vernünftiges Patchmanagement, auch für Zuhause, überlegen.

Heise zu lesen, schadet nicht, aber es ist genausowenig notwendig in diesem Kontext wie ein fundiertes Verständnis von TCP/IP. Man muss - und das wissen seit Jahren auch 75jährige Germanisten, um nur ein Beispiel herauszugreifen - sein Windows/OS, seinen Router, sein Handy etc. mit Security-Patches auf dem neuesten Stand halten. Ob das hier geholfen hätte, ist bisher nicht bestätigt, aber wohl nicht unwahrscheinlich. Und dass die Hersteller es einem da auch nicht immer leicht machen, ist schon klar. Aber wenn wir das Thema aufbauschen, hilft das keinem weiter.

Richtig ist hingegen, was Frogman schreibt: Wenn ich etwas Neues in Betrieb nehme, muss ich mir nicht nur "draufschaffen", wie ich es installiert und konfiguriert bekomme, sondern auch, ob es meine Sicherheit betrifft.
 

carstenj

Benutzer
Mitglied seit
07. Sep 2009
Beiträge
28
Punkte für Reaktionen
0
Punkte
1
Hi,
dil88 schrieb:
und das wissen seit Jahren auch 75jährige Germanisten, um nur ein Beispiel herauszugreifen - sein Windows/OS, seinen Router, sein Handy etc. mit Security-Patches auf dem neuesten Stand halten.
tja, keine Ahnung was du für Leute kennst, aber ein Großteil der Nutzer solcher Geräte die ich kenne weiss das eben nicht. Aber darüber kann man jetzt noch 36 Seiten diskutieren, meine Aussage ist, dass viel zu viele Leute viel zu wenig über die grundlegendsten Dinge in diesem Bereich wissen. Das ist nichtmal ein Vorwurf, dafür fehlt eben die Zeit.

Und wenn ich mit Ports arbeite, irgendwas von außen nach irgendwohin intern freischalte, muss ich schon wissen wieso ich das mache und was das im schlimmsten Fall für Konsequenzen haben kann.

Aber wenn wir das Thema aufbauschen, hilft das keinem weiter.
Was meinst du damit?
 

ottosykora

Benutzer
Mitglied seit
17. Apr 2013
Beiträge
8.859
Punkte für Reaktionen
1.147
Punkte
288
Und bitte definiert genau was aus eurem Netzwerk nach aussen ins Internet darf, das ist fast wichtiger als die Frage was darf rein.


zwar OT, aber:

wozu?

Ist doch heute schon genügend bekannt dass dieses outbound Filterung nicht wirklich was bringt
 

dil88

Benutzer
Contributor
Sehr erfahren
Mitglied seit
03. Sep 2012
Beiträge
30.674
Punkte für Reaktionen
2.077
Punkte
829
Was meinst du damit?

Ich kann meiner Verwandschaft, die mit IT nichts am Hut hat, Heise nicht stecken und TCP/IP erst recht nicht. Damit würde ich die völlig durcheinander bringen, das wäre kontraproduktiv. Aber die Patcherei haben sie intus und das läuft. Und genau das ist entscheidend aus meiner Sicht. Darauf wollte ich hinaus.
 

georgum

Benutzer
Mitglied seit
10. Jan 2011
Beiträge
265
Punkte für Reaktionen
0
Punkte
16
Nun outbound filtering bringt definitv einiges, vor allem wenn man kein APT (Advanced Persistent Threat) oder IPS (Intrusion Prevention) verwendet.
Mag schon sein, dass viele User mit dem überfordert sein dürften, aber deswegen soll man die Infos nicht geben?

Es ist leider so wie überall, User wollen alles nutzen können und von überall auf die eigenen Daten zugreifen, aber um die Aufzucht und Pflege dieser Systeme will oder kann sich keiner kümmern.

Es ist nun mal leider so, dass im Internet auch obskure Gestalten unterwegs sind, und daher muss ich mich schützen, daheim verschliesse ich die Tür ja auch.
 

Syn3312

Benutzer
Mitglied seit
21. Jan 2011
Beiträge
210
Punkte für Reaktionen
0
Punkte
16
Hi an alle,

habe diese Thread bis ca. Seite 35 gelesen und mir meine Meinung gebildet.
Unabhängig davon wie der aktuelle "Angriff" von statten geht, bitte kümmert euch doch mehr um die Sicherheit in eurem Netzwerk und die euerer Daten.

Generelle Regeln die man einhalten sollte:

Immer eine vernünftige Firewall verwenden, und da meine ich keinen Fritz Router oder ähnliches.
Verwendet nur die nötigsten Ports (ich habe z.B. nur den SSL Port (443) zu meiner Syno offen, auf der FW mache ich dann die dementsprechenden Regeln und kann immer noch alle Funktionen der DS nutzen.
Verwendet Sicherheitsmechanismen wie IPS und wenn möglich APT Systeme.
Verwendet ein 2 Stufen FW Konzept (2 Firewall unterschiedlicher Hersteller)
etc.

Und bitte definiert genau was aus eurem Netzwerk nach aussen ins Internet darf, das ist fast wichtiger als die Frage was darf rein. Das ist zwar alles ein wenig mehr Aufwand und erfordert auch ein wenig mehr KnowHow als ein Großteil der User haben, aber es zahlt sich aus.

PS: Als 2. Stufe Firewall würde ich euch eine Sophos UTM empfehlen, ist ein Spitzen Produkt und kostet auch Schweinemäßig Geld, hat aber den rieseigen Vorteil, dass man als Privatuser mit max. 50 internen IP's die komplette UTM inkl. aller Funktionalitäten komplett gratis verwenden darf. Inkl Virenschutz für interne Clients.
http://www.sophos.com/en-us/products/unified-threat-management.aspx
http://www.sophos.com/en-us/products/free-tools/sophos-utm-home-edition.aspx

Das Ding kann man virtuell betreiben, bzw. auf einen z.B. HP Micro Server installieren (Kostenpunkt komplett ca. € 250.-)

Greets
Georg

Derzeit sind meine Synos nicht im Internet zu erreichen, aus gutem Grund.

Gut, dass ich gerade am Projekt IPFire dran bin. Das sollte ja einen solchen Angriff verhindern?! Wobei ja noch nicht bekannt ist, wie es dazu kam...
 

jbraunm

Benutzer
Mitglied seit
29. Jun 2011
Beiträge
54
Punkte für Reaktionen
1
Punkte
6
Naja, man kann sich den Teilzeitadmin auch sparen, wenn man mit ein paar Mails klar kommt.
Meine Syno hat sich die letzten Monate immer wieder so gemeldet:

Sehr geehrter Benutzer,
Die IP-Adresse [196.37.25.50] hat 3 vergeblich versucht
sich beim Dienst SSH auf DiskStation innerhalb von 5 Minuten anzumelden
und wurde um Tue Aug 5 04:15:22 2014 blockiert.

Mit freundlichen Grüßen,
Synology DiskStation


Das sind die normalen Funktionen der Syno, mit der die Kiste auf fehlgeschlagene Logins reagiert.
Solange ich ein gutes Backup von der Syno habe, kann ich auch den SSH-Port auflassen.
Eigentlich eher aus Neugier, wer da alles rumschnüffelt... häufig China, zur Zeit auch Russland, die Ukraine, Taiwan und natürlich der große Schnüffler USA.

Jetzt hab ich's aber auch alle Ports dichtgemacht.

Gruß
jbraunm
 
Status
Für weitere Antworten geschlossen.
 

Kaffeautomat

Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.

Als Dankeschön schalten wir deinen Account werbefrei.

:coffee:

Hier gehts zum Kaffeeautomat