SynoLocker TM - Daten auf NAS gecrypted worden durch Hacker

Status
Für weitere Antworten geschlossen.

DKeppi

Benutzer
Mitglied seit
01. Apr 2011
Beiträge
3.218
Punkte für Reaktionen
74
Punkte
114
Gut, dass ich gerade am Projekt IPFire dran bin. Das sollte ja einen solchen Angriff verhindern?! Wobei ja noch nicht bekannt ist, wie es dazu kam...

Am besten auf einem RaspberryPi installieren, dass noch rumliegt ;)
 

carstenj

Benutzer
Mitglied seit
07. Sep 2009
Beiträge
28
Punkte für Reaktionen
0
Punkte
1
Hi,
Ich kann meiner Verwandschaft, die mit IT nichts am Hut hat, Heise nicht stecken und TCP/IP erst recht nicht. Damit würde ich die völlig durcheinander bringen, das wäre kontraproduktiv. Aber die Patcherei haben sie intus und das läuft. Und genau das ist entscheidend aus meiner Sicht. Darauf wollte ich hinaus.
Ok, Ergänzung: Sobald man irgendwas im internen Netzwerk nach außen freigibt, sollte man TCP/IP Grundlagen kennen.
georgum schrieb:
Es ist leider so wie überall, User wollen alles nutzen können und von überall auf die eigenen Daten zugreifen, aber um die Aufzucht und Pflege dieser Systeme will oder kann sich keiner kümmern.
Vermutlich ist das auch der Grund, warum sich Clouddienste immer mehr durchsetzen werden. Da hab ich mit der Patcherei nix mehr am Hut und benötige kaum Hintergrundwissen. Da muss ich mich nur noch drum kümmern, dass niemand mein PW erraten kann. :)
 

dany

Benutzer
Mitglied seit
31. Mrz 2008
Beiträge
352
Punkte für Reaktionen
0
Punkte
22
Aber wenn wir das Thema aufbauschen, hilft das keinem weiter.
Genau, das hilft niemanden.

Wer sich nicht sicher ist was er da Freigeschaltet hat, der kann z.B. einen Port-Scann von zu Hause durchführen: http://www.heise.de/security/dienste/portscan/test/go.shtml?scanart=1

Für mich klingt es so, als wären 90% aller Posts Panikmache. Ich kann kaum glauben, dass man bei offenem OpenVPN und SSH Dienste die NAS gefährdet ist.
Das sind Dienste/Deamon die auch auf auf normalen Linux-Servern laufen, d.h. Standardkomponenten. Wäre hier das Einfallstor, wäre das für mich sehr viel mehr beunruhigender, bez. wäre ja mehr Geld zu machen bei den Linux-Server, als die paar Synology-NAS.

Nochmals zum Nachdenken: Wir haben x-Millionen Internetanschlüsse. Wie kann nun ein Angreifer herausfinden, dass ich eine Synology-NAS habe? Genau, ich scanne nach Port 5000/5001, bez. das DSM-Login. Habe ich nur SSH und oder OpenVPN weiss er ja nicht was dahinter steckt. Somit gut überlegen welche Ports ich freischalte, und was ich im Internet anbiete.

Gruss Dany
 

Martin1968

Benutzer
Mitglied seit
27. Sep 2012
Beiträge
29
Punkte für Reaktionen
1
Punkte
3
Sicherheitseinstellungen

Ich meine so eine Kurzanleitung für die wichtigsten (oder häufigsten) Punkte. Ich tippe mal, daß man am Anfang die Photostation, die Filestation, den Clouddienst nutzen und vielleicht noch eine kleine Homepage basteln will. Die anderen Möglichkeiten werden dann später Schritt für Schritt dazukommen, aber da hat man dann ja schon etwas Erfahrung.

Als Neu-Mac-User habe ich bei Youtube einen Channel gefunden, der von einem Mac-User mit Syno stammt und der in einem Video genau die wichtigsten Sicherheitseinstellungen erläutert hat. Mir hats geholfen, deswegen hier der Link:

http://youtu.be/dO-tExx0QhQ?list=UUcQSnS7uPXHW3PvhV88p9Pg

Mfg

Martin
 

mzman

Benutzer
Mitglied seit
14. Mai 2013
Beiträge
2
Punkte für Reaktionen
0
Punkte
0
Synology hat sich mal geäussert:

Nachtrag vom 5. August 2014, 13:00 Uhr

Gegenwärtig geht Synology davon aus, dass nur DSM 4,x vom Befall der Ransomware betroffen ist. Der Trojaner nutzt dabei wohl eine Sicherheitslücke aus, die Synology bereits im Februar 2014 behoben hatte. Auf einer entsprechend datierten Webseite stehen die Versionsnummern der Updates, die im Download-Center erhältlich sind. DSM 5.0 sei nicht betroffen, so das Unternehmen, und verlinkt auf eine weitere Webseite, in der die sichere Abschottung eines Systems beschrieben wird.

quelle: Golem http://www.golem.de/news/security-ransomware-uebernimmt-nas-von-synology-1408-108341.html
 

dil88

Benutzer
Contributor
Sehr erfahren
Mitglied seit
03. Sep 2012
Beiträge
30.700
Punkte für Reaktionen
2.112
Punkte
829
Vorweg: Ich wollte Dich in keiner Weise persönlich angreifen, schätze ganz im Gegenteil Deine Beiträge sehr.

Vermutlich ist das auch der Grund, warum sich Clouddienste immer mehr durchsetzen werden. Da hab ich mit der Patcherei nix mehr am Hut und benötige kaum Hintergrundwissen. Da muss ich mich nur noch drum kümmern, dass niemand mein PW erraten kann. :)

Das ist mit Sicherheit einer der Gründe - und ein sehr nachvollziehbarer. Dazu kommt noch, dass die Software beispielsweise von Dropbox an diversen Stellen überlegen ist. Aber es bleibt eben die große Einschränkung, dass die Daten nicht privat bleiben, was aktuell ja einer der Gründe ist, warum NAS so gut gehen und jeder NAS-Hersteller eine Cloud-Software hat und kräftig bewirbt.
 

jahlives

Benutzer
Mitglied seit
19. Aug 2008
Beiträge
18.275
Punkte für Reaktionen
4
Punkte
0

yep_DD

Benutzer
Mitglied seit
04. Aug 2014
Beiträge
20
Punkte für Reaktionen
0
Punkte
0
@mzman
ist dir aufgefallen dass der Link bei Golem in diesen Thread geht? Und zwar auf diesen Post http://www.synology-forum.de/showth...n-durch-Hacker&p=445656&viewfull=1#post445656 :) Wobei ich schon glaube, dass nur 4.3-er betroffen waren nur diese Info aus einem Community Forum als Quelle, na ja :)

das habe ich mir auch gerade gedacht, aber wie gesagt, die Mail kam vorhin frisch vom Support rein. Mit dem Kollegen stehe ich wegen der IPV6 Problematik schon länger in Kontakt. Aber hoffen wir mal, das es stimmt...
 

Frogman

Benutzer
Mitglied seit
01. Sep 2012
Beiträge
17.485
Punkte für Reaktionen
8
Punkte
414
...Für mich klingt es so, als wären 90% aller Posts Panikmache. Ich kann kaum glauben, dass man bei offenem OpenVPN und SSH Dienste die NAS gefährdet ist. Das sind Dienste/Deamon die auch auf auf normalen Linux-Servern laufen, d.h. Standardkomponenten. Wäre hier das Einfallstor, wäre das für mich sehr viel mehr beunruhigender, bez. wäre ja mehr Geld zu machen bei den Linux-Server, als die paar Synology-NAS.
Guter Mann, Du weißt, was Du da schreibst? - Heartbleet hat doch gezeigt, dass selbst "Standardkompontenten" auf normalen und großen Servern nicht allein deshalb größere Sicherheit bieten müssen. Und abgesehen davon hinken solche Dinger wie NAS oder auch andere Consumer-Spielereien dem aktuellen Sicherheits- und Entwicklungsstand u.U. gehörig hinterher - und damit meine ich jetzt nicht nur den verwendeten Kernel. Schau Dir einfach mal im Wiki die Versionsstände an und vergleiche... ;)
 

mzman

Benutzer
Mitglied seit
14. Mai 2013
Beiträge
2
Punkte für Reaktionen
0
Punkte
0
stimmt auch wieder
so ist die berichterstattung und ich mach copy und paste
danke für den hinweis
:rolleyes:
 

gizmo21

Benutzer
Mitglied seit
16. Jul 2012
Beiträge
120
Punkte für Reaktionen
17
Punkte
18
diese Antwort eben direkt von Syno bekommen:



Hello xxxxxxxxx,

Thank you for contacting Synology support.

From the current investigation, they are still using the old security hole to hack the DiskStation with old DSM:

http://www.synology.com/company/news/article/437

As you are in DSM5.0, this kind of hack can't work. But it's also recommended for securing the log on over Internet by this way:

http://www.synology.com/en-global/support/tutorials/478

Hope this helps.

Best Regards,


Synology hat sich mal geäussert:

Nachtrag vom 5. August 2014, 13:00 Uhr

Gegenwärtig geht Synology davon aus, dass nur DSM 4,x vom Befall der Ransomware betroffen ist. Der Trojaner nutzt dabei wohl eine Sicherheitslücke aus, die Synology bereits im Februar 2014 behoben hatte. Auf einer entsprechend datierten Webseite stehen die Versionsnummern der Updates, die im Download-Center erhältlich sind. DSM 5.0 sei nicht betroffen, so das Unternehmen, und verlinkt auf eine weitere Webseite, in der die sichere Abschottung eines Systems beschrieben wird.

quelle: Golem http://www.golem.de/news/security-ransomware-uebernimmt-nas-von-synology-1408-108341.html

@mzman
ist dir aufgefallen dass der Link bei Golem in diesen Thread geht? Und zwar auf diesen Post http://www.synology-forum.de/showth...n-durch-Hacker&p=445656&viewfull=1#post445656 :) Wobei ich schon glaube, dass nur 4.3-er betroffen waren nur diese Info aus einem Community Forum als Quelle, na ja :)

stimmt auch wieder
so ist die berichterstattung und ich mach copy und paste
danke für den hinweis
:rolleyes:

Oh Gott wir sind alle in einer temporalen Link-Kausalitätsschleife gefangen. :p (sorry Offtopic)
 

Frogman

Benutzer
Mitglied seit
01. Sep 2012
Beiträge
17.485
Punkte für Reaktionen
8
Punkte
414
... Mit dem Kollegen stehe ich wegen der IPV6 Problematik schon länger in Kontakt. ....
Yep... - da kommt das Stichwort! Ich mag mir gar nicht vorstellen, was alles noch ansteht, wenn IPv4 dann beizeiten eingemottet wird und jedes Ding mit "i" oder "e" im Namen per IPv6 ins Netz geht... Alles, was der gemeine User sich aufwändig bzgl. NAT, Portregeln usw. angelesen hat, wird plötzlich unwichtig und er sieht sich Unmengen von schlampig eingestellten Konfigurationen bei all den Spielzeugen gegenüber...
 

SebastianDamm

Benutzer
Mitglied seit
03. Jun 2014
Beiträge
2
Punkte für Reaktionen
0
Punkte
0
Servus zusammen, ich steig mal mit meinem ersten Posting hier ein, nachdem ich bisher auch alle Seiten des Threads gelesen habe...

Der Port-Checker von heise ist ja an sich ganz nett, funktioniert allerdings ja nur für IPv4. Ich stehe damit vor folgendem Problem: Ich habe IPv4 nur mit DS-Lite-Tunnel von Unitymedia (im Zusammenhang mit Fernzugriff sollte dieser Schmerz im Ar*** vllt. einigen hier bekannt sein). Das heißt ja, dass ich _eigentlich_ erst mal nicht aus dem Internet erreichbar bin, es sei denn über IPv6. Also würde abschalten der Ports bei IPv4 ja erst mal nicht wirklich Mehrwert bringen. Andersherum gibt es bei IPv6 ja in dem Sinne keine Ports mehr (wenn ich das richtig verstanden habe), sondern alles bekommt seine eigene Adresse. Das hieße, wenn ich IPv6 in der DS komplett abschalte, müsste ich selber von außen (außer evtl über quickconnect) nicht mehr auf die DS kommen und andersherum damit auch sicher sein??!

Wäre super, wenn jemand mein Dunkel erleuchten könnte! :)
 

Qnaper

Benutzer
Mitglied seit
04. Aug 2014
Beiträge
2
Punkte für Reaktionen
0
Punkte
0
Moin,... ein Aspekt habt ihr zwar schon angesprochen aber nicht wirklich beleuchtet,... Die Aktion hier beschert einigen einen herben Datenverlust,... so what, dies wäre auch passiert wenn

  • der Blitz einschlägt
  • das RAID komplett abkackt
  • eine Singledisk in die ewigen Jagdgründe geht
  • Diebe das NAS abzocken
  • Die Bude abfackelt
  • oder der Keller samt NAS absäuft
  • der User versehentlich Daten löscht

warum: weil,... die Leute kein BACKUP haben,...wollen - bzw. es sich nicht leisten wollen,... den der Gedanke für Backupplatz Geld auszugeben wohlmöglich noch nicht mal im Haus zu sichern schreckt viele Leute ab. Selbst schuld
Und wie schon Mehrfach berichtet, fehlt ihnen das Wissen für eine adäquate EDV - Planung.

Ich will das Sicherheitsloch mal nicht klein reden, versteht mich nicht falsch,.... aber wenn es sich Bewahrheitet, dass es nur ungepatchte DS betrifft,.... nochmals selber schuld.
Ähnlich wie die 1000sende offenen Fritten im Netz. Gehackt worden kosten,... selbst Schuld. Hättest dich mal um Deine EDV gekümmert.
Jeder aber auch jeder der sich heute beim ich bin doch nicht blöd Markt ein USB-Stick kaufen kann meint er wäre ein IT-LER/Administrator,.... und wenn der nicht weiter weiß fragt er seinen Nachbarn,.. der hat schon zwei gekauft. Oder besser noch man fragt einen Verkäufer eines USB-Sticks der muss das wissen. Bloß keine Beratung vom Fachmann,... die kost ja Geld.

Die, die sich auskennen haben diese Problem, nicht: ersten lesen die einschlägige Presse, und zweitens haben die nicht jeden Port offen, und oh Wunder drittens,... die haben ein echtes BACKUP.

Es gibt aber etwas was mir noch mehr zu denken gibt und das ist unendliche Zahl von DAU's. Das gemeine Fußvolk will ja in der Tagesschau auch lieber hören und sehen,... was der Y-Promi mit dem Z-Promi treibt, anstatt sich um seinen Datenschutz zu kümmern, geschweige denn über Sicherheitslücken informiert zu werden will,....

Insgesamt find ich's geil - Die Angriffe werden "schlimmer" werden aber in den Köpfen der Leute wird sich nix ändern - Warum auch wenn selbst unsere oberste Heeresleitung ist so blöd, dass sie jetzt noch immer glaubt, nicht mehr abgehört zu werden,... ne Geile - Lachnummer.

Ach ja,... Stimmt da war doch noch etwas,.... KLAUT-Backup,.. hihihi schön alles bei Amazon oder Google,..... hochladen,..... eigentlich kann doch die NSA mal gleich direkt einen KLAUT -Dienst einrichten,... wär doch viel einfacher für die USA-Stasi
 

Frogman

Benutzer
Mitglied seit
01. Sep 2012
Beiträge
17.485
Punkte für Reaktionen
8
Punkte
414
Nun outbound filtering bringt definitv einiges, vor allem wenn man kein APT (Advanced Persistent Threat) oder IPS (Intrusion Prevention) verwendet..
Allein dieser Satz zeigt, wie missverständlich Du Begriffe nutzt und damit verwirrst - oder warum stellst Du ein Angriffsszenario auf eine Stufe mit einem in-situ-Sicherheitssystem?
 

georgum

Benutzer
Mitglied seit
10. Jan 2011
Beiträge
265
Punkte für Reaktionen
0
Punkte
16
Nun es gehört zusammen, auf der einen Seite schränkt man die erlaubten Zugriffe aus dem internen Netz ins WWW ein, und auf der anderen Seite hast du eine APT welche diese Zugriffe auch überwacht und bei verdächtigen Verbindungen ins WWW maunzt.
Zusätzlich bemerkt man durch die IPS dann versuchte Angriffe auf die offiziellen IP's, wie auch Angriffe auf die internen Rechner, vorausgesetzt man konfiguriert das korrekt.

Welche Begriffe verwende ich missverständlich?
 

Benares

Benutzer
Sehr erfahren
Mitglied seit
27. Sep 2008
Beiträge
13.803
Punkte für Reaktionen
3.761
Punkte
468
Der Thread entgleitet. Hier geht es doch um den SynoLocker und nicht um die Fähigkeiten einer "advanced" Firewall, die kaum jemand hat.
 

Puppetmaster

Benutzer
Sehr erfahren
Mitglied seit
03. Feb 2012
Beiträge
18.991
Punkte für Reaktionen
629
Punkte
484
Der Thread ist schon seit ein paar hundert Posts durch, oder? Gab's auf den letzten 20 Seiten jetzt irgendwelche neuen Erkenntnisse?

Die Leute schreiben halt gerne ihren Frust auf. :)
 

ric13

Benutzer
Mitglied seit
15. Jul 2014
Beiträge
1
Punkte für Reaktionen
0
Punkte
0
Hi zusammen

Habe erst kürzlich mein erstes Syno eingerichtet. Habe auch meine gesamte Musiksammlung Lossless darauf. Habe VPN-Zugriff aktiviert sowie Port 5001 freigegeben, da ich mit der DS-App Musik streamen möchte (für Drittanwender - Kollegen). Dafür habe ich einen weiteren https-Port für die Audio-Station konfiguriert und Port 5001 an den neu konfigurierten internen https-Port der Audiostation zugewiesen. Somit kann von extern über Port 5001 nur noch auf die Audio-Station eingeloggt werden. Diesen Zugriff möchte ich für externe User belassen. Alle weiteren Zugriffe sind nur über OpenVPN lokal erreichbar. Wie ich den früheren Threads entnehmen kann wäre es eigentlich wünschswert nur sehr hohe Portnummern (virtuelle Ports) freizugeben am Router (keine eindeutigen Syno-Ports). Hier kommt jedoch die App (DS Audio) nicht mehr klar - diese verwendet offenbar immer nur Port 5001 und kann nicht umkonfiguriert werden. Um Synolocker und Co. möglichst wenig Möglichkeiten für ein Eindringen zu gewähren möchte ich eigentlich Port 5001 auf dem Router gar nicht mehr öffnen. Oder schätzt ihr die Möglichkeit ein System zu kompromittieren als ziemlich tief ein, wenn mit dem "umgelegten" Port nur noch ein Einloggen auf die Audiostation möglich ist? Wäre natürlich auch froh für Infos, wie mit der DS-Audio App ein anderer Port als 5001 genutzt werden kann (oder allenfalls Alternativ-Apps?). Dann könnte nur noch ein virtueller Port im hohen Bereich geöffnet werden.... Wäre nicht die absolute Sicherheit - würde aber wohl genügen um Standartangriffe abzuwehren. Wer mehr Aufwand betreibt kann m.E. sowieso alles knacken. Ein solcher Aufwand dürfte aber für eine private Syno kaum für einen Angreifer lohnen. THX für Eure Meinung.

Sorry wenn ich etwas aus dem Thema falle.... fand aber keinen andern sinnvollen Thread für diese Frage.

Ric13

PS: Zurzeit habe ich alle Portweiterleitungen sicherheitshalber ausgeschaltet und greife nur noch über VPN via Fritzbox auf die Syno von ausserhalb zu.....
 

jahlives

Benutzer
Mitglied seit
19. Aug 2008
Beiträge
18.275
Punkte für Reaktionen
4
Punkte
0
Status
Für weitere Antworten geschlossen.
 

Kaffeautomat

Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.

Als Dankeschön schalten wir deinen Account werbefrei.

:coffee:

Hier gehts zum Kaffeeautomat