DKeppi
Benutzer
- Mitglied seit
- 01. Apr 2011
- Beiträge
- 3.213
- Punkte für Reaktionen
- 67
- Punkte
- 114
SynoLocker TM - Daten auf NAS gecrypted worden durch Hacker
- Ersteller jony
- Erstellt am
- Status
Hi,
Ok, Ergänzung: Sobald man irgendwas im internen Netzwerk nach außen freigibt, sollte man TCP/IP Grundlagen kennen.
Vermutlich ist das auch der Grund, warum sich Clouddienste immer mehr durchsetzen werden. Da hab ich mit der Patcherei nix mehr am Hut und benötige kaum Hintergrundwissen. Da muss ich mich nur noch drum kümmern, dass niemand mein PW erraten kann.georgum schrieb:
dany
Benutzer
- Mitglied seit
- 31. Mrz 2008
- Beiträge
- 352
- Punkte für Reaktionen
- 0
- Punkte
- 22
Genau, das hilft niemanden.
Wer sich nicht sicher ist was er da Freigeschaltet hat, der kann z.B. einen Port-Scann von zu Hause durchführen: http://www.heise.de/security/dienste/portscan/test/go.shtml?scanart=1
Für mich klingt es so, als wären 90% aller Posts Panikmache. Ich kann kaum glauben, dass man bei offenem OpenVPN und SSH Dienste die NAS gefährdet ist.
Das sind Dienste/Deamon die auch auf auf normalen Linux-Servern laufen, d.h. Standardkomponenten. Wäre hier das Einfallstor, wäre das für mich sehr viel mehr beunruhigender, bez. wäre ja mehr Geld zu machen bei den Linux-Server, als die paar Synology-NAS.
Nochmals zum Nachdenken: Wir haben x-Millionen Internetanschlüsse. Wie kann nun ein Angreifer herausfinden, dass ich eine Synology-NAS habe? Genau, ich scanne nach Port 5000/5001, bez. das DSM-Login. Habe ich nur SSH und oder OpenVPN weiss er ja nicht was dahinter steckt. Somit gut überlegen welche Ports ich freischalte, und was ich im Internet anbiete.
Gruss Dany
Sicherheitseinstellungen
Als Neu-Mac-User habe ich bei Youtube einen Channel gefunden, der von einem Mac-User mit Syno stammt und der in einem Video genau die wichtigsten Sicherheitseinstellungen erläutert hat. Mir hats geholfen, deswegen hier der Link:
http://youtu.be/dO-tExx0QhQ?list=UUcQSnS7uPXHW3PvhV88p9Pg
Mfg
Martin
Als Neu-Mac-User habe ich bei Youtube einen Channel gefunden, der von einem Mac-User mit Syno stammt und der in einem Video genau die wichtigsten Sicherheitseinstellungen erläutert hat. Mir hats geholfen, deswegen hier der Link:
http://youtu.be/dO-tExx0QhQ?list=UUcQSnS7uPXHW3PvhV88p9Pg
Mfg
Martin
Synology hat sich mal geäussert:
Nachtrag vom 5. August 2014, 13:00 Uhr
Gegenwärtig geht Synology davon aus, dass nur DSM 4,x vom Befall der Ransomware betroffen ist. Der Trojaner nutzt dabei wohl eine Sicherheitslücke aus, die Synology bereits im Februar 2014 behoben hatte. Auf einer entsprechend datierten Webseite stehen die Versionsnummern der Updates, die im Download-Center erhältlich sind. DSM 5.0 sei nicht betroffen, so das Unternehmen, und verlinkt auf eine weitere Webseite, in der die sichere Abschottung eines Systems beschrieben wird.
quelle: Golem http://www.golem.de/news/security-ransomware-uebernimmt-nas-von-synology-1408-108341.html
Nachtrag vom 5. August 2014, 13:00 Uhr
Gegenwärtig geht Synology davon aus, dass nur DSM 4,x vom Befall der Ransomware betroffen ist. Der Trojaner nutzt dabei wohl eine Sicherheitslücke aus, die Synology bereits im Februar 2014 behoben hatte. Auf einer entsprechend datierten Webseite stehen die Versionsnummern der Updates, die im Download-Center erhältlich sind. DSM 5.0 sei nicht betroffen, so das Unternehmen, und verlinkt auf eine weitere Webseite, in der die sichere Abschottung eines Systems beschrieben wird.
quelle: Golem http://www.golem.de/news/security-ransomware-uebernimmt-nas-von-synology-1408-108341.html
- Mitglied seit
- 03. Sep 2012
- Beiträge
- 30.604
- Punkte für Reaktionen
- 1.995
- Punkte
- 804
Vorweg: Ich wollte Dich in keiner Weise persönlich angreifen, schätze ganz im Gegenteil Deine Beiträge sehr.
Das ist mit Sicherheit einer der Gründe - und ein sehr nachvollziehbarer. Dazu kommt noch, dass die Software beispielsweise von Dropbox an diversen Stellen überlegen ist. Aber es bleibt eben die große Einschränkung, dass die Daten nicht privat bleiben, was aktuell ja einer der Gründe ist, warum NAS so gut gehen und jeder NAS-Hersteller eine Cloud-Software hat und kräftig bewirbt.
Vermutlich ist das auch der Grund, warum sich Clouddienste immer mehr durchsetzen werden. Da hab ich mit der Patcherei nix mehr am Hut und benötige kaum Hintergrundwissen. Da muss ich mich nur noch drum kümmern, dass niemand mein PW erraten kann.
Das ist mit Sicherheit einer der Gründe - und ein sehr nachvollziehbarer. Dazu kommt noch, dass die Software beispielsweise von Dropbox an diversen Stellen überlegen ist. Aber es bleibt eben die große Einschränkung, dass die Daten nicht privat bleiben, was aktuell ja einer der Gründe ist, warum NAS so gut gehen und jeder NAS-Hersteller eine Cloud-Software hat und kräftig bewirbt.
jahlives
Benutzer
- Mitglied seit
- 19. Aug 2008
- Beiträge
- 18.275
- Punkte für Reaktionen
- 4
- Punkte
- 0
@mzman
ist dir aufgefallen dass der Link bei Golem in diesen Thread geht? Und zwar auf diesen Post http://www.synology-forum.de/showth...n-durch-Hacker&p=445656&viewfull=1#post445656 Wobei ich schon glaube, dass nur 4.3-er betroffen waren nur diese Info aus einem Community Forum als Quelle, na ja
ist dir aufgefallen dass der Link bei Golem in diesen Thread geht? Und zwar auf diesen Post http://www.synology-forum.de/showth...n-durch-Hacker&p=445656&viewfull=1#post445656
Wobei ich schon glaube, dass nur 4.3-er betroffen waren nur diese Info aus einem Community Forum als Quelle, na ja @mzman
ist dir aufgefallen dass der Link bei Golem in diesen Thread geht? Und zwar auf diesen Post http://www.synology-forum.de/showth...n-durch-Hacker&p=445656&viewfull=1#post445656
das habe ich mir auch gerade gedacht, aber wie gesagt, die Mail kam vorhin frisch vom Support rein. Mit dem Kollegen stehe ich wegen der IPV6 Problematik schon länger in Kontakt. Aber hoffen wir mal, das es stimmt...
Frogman
Benutzer
- Mitglied seit
- 01. Sep 2012
- Beiträge
- 17.485
- Punkte für Reaktionen
- 8
- Punkte
- 414
Guter Mann, Du weißt, was Du da schreibst? - Heartbleet hat doch gezeigt, dass selbst "Standardkompontenten" auf normalen und großen Servern nicht allein deshalb größere Sicherheit bieten müssen. Und abgesehen davon hinken solche Dinger wie NAS oder auch andere Consumer-Spielereien dem aktuellen Sicherheits- und Entwicklungsstand u.U. gehörig hinterher - und damit meine ich jetzt nicht nur den verwendeten Kernel. Schau Dir einfach mal im Wiki die Versionsstände an und vergleiche...
stimmt auch wieder
so ist die berichterstattung und ich mach copy und paste
danke für den hinweis
so ist die berichterstattung und ich mach copy und paste
danke für den hinweis
@mzman
ist dir aufgefallen dass der Link bei Golem in diesen Thread geht? Und zwar auf diesen Post http://www.synology-forum.de/showth...n-durch-Hacker&p=445656&viewfull=1#post445656
stimmt auch wieder
so ist die berichterstattung und ich mach copy und paste
danke für den hinweis
Oh Gott wir sind alle in einer temporalen Link-Kausalitätsschleife gefangen.
(sorry Offtopic)
Frogman
Benutzer
- Mitglied seit
- 01. Sep 2012
- Beiträge
- 17.485
- Punkte für Reaktionen
- 8
- Punkte
- 414
Yep... - da kommt das Stichwort! Ich mag mir gar nicht vorstellen, was alles noch ansteht, wenn IPv4 dann beizeiten eingemottet wird und jedes Ding mit "i" oder "e" im Namen per IPv6 ins Netz geht... Alles, was der gemeine User sich aufwändig bzgl. NAT, Portregeln usw. angelesen hat, wird plötzlich unwichtig und er sieht sich Unmengen von schlampig eingestellten Konfigurationen bei all den Spielzeugen gegenüber...
Servus zusammen, ich steig mal mit meinem ersten Posting hier ein, nachdem ich bisher auch alle Seiten des Threads gelesen habe...
Der Port-Checker von heise ist ja an sich ganz nett, funktioniert allerdings ja nur für IPv4. Ich stehe damit vor folgendem Problem: Ich habe IPv4 nur mit DS-Lite-Tunnel von Unitymedia (im Zusammenhang mit Fernzugriff sollte dieser Schmerz im Ar*** vllt. einigen hier bekannt sein). Das heißt ja, dass ich _eigentlich_ erst mal nicht aus dem Internet erreichbar bin, es sei denn über IPv6. Also würde abschalten der Ports bei IPv4 ja erst mal nicht wirklich Mehrwert bringen. Andersherum gibt es bei IPv6 ja in dem Sinne keine Ports mehr (wenn ich das richtig verstanden habe), sondern alles bekommt seine eigene Adresse. Das hieße, wenn ich IPv6 in der DS komplett abschalte, müsste ich selber von außen (außer evtl über quickconnect) nicht mehr auf die DS kommen und andersherum damit auch sicher sein??!
Wäre super, wenn jemand mein Dunkel erleuchten könnte!
Der Port-Checker von heise ist ja an sich ganz nett, funktioniert allerdings ja nur für IPv4. Ich stehe damit vor folgendem Problem: Ich habe IPv4 nur mit DS-Lite-Tunnel von Unitymedia (im Zusammenhang mit Fernzugriff sollte dieser Schmerz im Ar*** vllt. einigen hier bekannt sein). Das heißt ja, dass ich _eigentlich_ erst mal nicht aus dem Internet erreichbar bin, es sei denn über IPv6. Also würde abschalten der Ports bei IPv4 ja erst mal nicht wirklich Mehrwert bringen. Andersherum gibt es bei IPv6 ja in dem Sinne keine Ports mehr (wenn ich das richtig verstanden habe), sondern alles bekommt seine eigene Adresse. Das hieße, wenn ich IPv6 in der DS komplett abschalte, müsste ich selber von außen (außer evtl über quickconnect) nicht mehr auf die DS kommen und andersherum damit auch sicher sein??!
Wäre super, wenn jemand mein Dunkel erleuchten könnte!
Qnaper
Benutzer
- Mitglied seit
- 04. Aug 2014
- Beiträge
- 2
- Punkte für Reaktionen
- 0
- Punkte
- 0
Moin,... ein Aspekt habt ihr zwar schon angesprochen aber nicht wirklich beleuchtet,... Die Aktion hier beschert einigen einen herben Datenverlust,... so what, dies wäre auch passiert wenn
warum: weil,... die Leute kein BACKUP haben,...wollen - bzw. es sich nicht leisten wollen,... den der Gedanke für Backupplatz Geld auszugeben wohlmöglich noch nicht mal im Haus zu sichern schreckt viele Leute ab. Selbst schuld
Und wie schon Mehrfach berichtet, fehlt ihnen das Wissen für eine adäquate EDV - Planung.
Ich will das Sicherheitsloch mal nicht klein reden, versteht mich nicht falsch,.... aber wenn es sich Bewahrheitet, dass es nur ungepatchte DS betrifft,.... nochmals selber schuld.
Ähnlich wie die 1000sende offenen Fritten im Netz. Gehackt worden kosten,... selbst Schuld. Hättest dich mal um Deine EDV gekümmert.
Jeder aber auch jeder der sich heute beim ich bin doch nicht blöd Markt ein USB-Stick kaufen kann meint er wäre ein IT-LER/Administrator,.... und wenn der nicht weiter weiß fragt er seinen Nachbarn,.. der hat schon zwei gekauft. Oder besser noch man fragt einen Verkäufer eines USB-Sticks der muss das wissen. Bloß keine Beratung vom Fachmann,... die kost ja Geld.
Die, die sich auskennen haben diese Problem, nicht: ersten lesen die einschlägige Presse, und zweitens haben die nicht jeden Port offen, und oh Wunder drittens,... die haben ein echtes BACKUP.
Es gibt aber etwas was mir noch mehr zu denken gibt und das ist unendliche Zahl von DAU's. Das gemeine Fußvolk will ja in der Tagesschau auch lieber hören und sehen,... was der Y-Promi mit dem Z-Promi treibt, anstatt sich um seinen Datenschutz zu kümmern, geschweige denn über Sicherheitslücken informiert zu werden will,....
Insgesamt find ich's geil - Die Angriffe werden "schlimmer" werden aber in den Köpfen der Leute wird sich nix ändern - Warum auch wenn selbst unsere oberste Heeresleitung ist so blöd, dass sie jetzt noch immer glaubt, nicht mehr abgehört zu werden,... ne Geile - Lachnummer.
Ach ja,... Stimmt da war doch noch etwas,.... KLAUT-Backup,.. hihihi schön alles bei Amazon oder Google,..... hochladen,..... eigentlich kann doch die NSA mal gleich direkt einen KLAUT -Dienst einrichten,... wär doch viel einfacher für die USA-Stasi
- der Blitz einschlägt
- das RAID komplett abkackt
- eine Singledisk in die ewigen Jagdgründe geht
- Diebe das NAS abzocken
- Die Bude abfackelt
- oder der Keller samt NAS absäuft
- der User versehentlich Daten löscht
warum: weil,... die Leute kein BACKUP haben,...wollen - bzw. es sich nicht leisten wollen,... den der Gedanke für Backupplatz Geld auszugeben wohlmöglich noch nicht mal im Haus zu sichern schreckt viele Leute ab. Selbst schuld
Und wie schon Mehrfach berichtet, fehlt ihnen das Wissen für eine adäquate EDV - Planung.
Ich will das Sicherheitsloch mal nicht klein reden, versteht mich nicht falsch,.... aber wenn es sich Bewahrheitet, dass es nur ungepatchte DS betrifft,.... nochmals selber schuld.
Ähnlich wie die 1000sende offenen Fritten im Netz. Gehackt worden kosten,... selbst Schuld. Hättest dich mal um Deine EDV gekümmert.
Jeder aber auch jeder der sich heute beim ich bin doch nicht blöd Markt ein USB-Stick kaufen kann meint er wäre ein IT-LER/Administrator,.... und wenn der nicht weiter weiß fragt er seinen Nachbarn,.. der hat schon zwei gekauft. Oder besser noch man fragt einen Verkäufer eines USB-Sticks der muss das wissen. Bloß keine Beratung vom Fachmann,... die kost ja Geld.
Die, die sich auskennen haben diese Problem, nicht: ersten lesen die einschlägige Presse, und zweitens haben die nicht jeden Port offen, und oh Wunder drittens,... die haben ein echtes BACKUP.
Es gibt aber etwas was mir noch mehr zu denken gibt und das ist unendliche Zahl von DAU's. Das gemeine Fußvolk will ja in der Tagesschau auch lieber hören und sehen,... was der Y-Promi mit dem Z-Promi treibt, anstatt sich um seinen Datenschutz zu kümmern, geschweige denn über Sicherheitslücken informiert zu werden will,....
Insgesamt find ich's geil - Die Angriffe werden "schlimmer" werden aber in den Köpfen der Leute wird sich nix ändern - Warum auch wenn selbst unsere oberste Heeresleitung ist so blöd, dass sie jetzt noch immer glaubt, nicht mehr abgehört zu werden,... ne Geile - Lachnummer.
Ach ja,... Stimmt da war doch noch etwas,.... KLAUT-Backup,.. hihihi schön alles bei Amazon oder Google,..... hochladen,..... eigentlich kann doch die NSA mal gleich direkt einen KLAUT -Dienst einrichten,... wär doch viel einfacher für die USA-Stasi
Frogman
Benutzer
- Mitglied seit
- 01. Sep 2012
- Beiträge
- 17.485
- Punkte für Reaktionen
- 8
- Punkte
- 414
Allein dieser Satz zeigt, wie missverständlich Du Begriffe nutzt und damit verwirrst - oder warum stellst Du ein Angriffsszenario auf eine Stufe mit einem in-situ-Sicherheitssystem?
Nun es gehört zusammen, auf der einen Seite schränkt man die erlaubten Zugriffe aus dem internen Netz ins WWW ein, und auf der anderen Seite hast du eine APT welche diese Zugriffe auch überwacht und bei verdächtigen Verbindungen ins WWW maunzt.
Zusätzlich bemerkt man durch die IPS dann versuchte Angriffe auf die offiziellen IP's, wie auch Angriffe auf die internen Rechner, vorausgesetzt man konfiguriert das korrekt.
Welche Begriffe verwende ich missverständlich?
Zusätzlich bemerkt man durch die IPS dann versuchte Angriffe auf die offiziellen IP's, wie auch Angriffe auf die internen Rechner, vorausgesetzt man konfiguriert das korrekt.
Welche Begriffe verwende ich missverständlich?
Der Thread entgleitet. Hier geht es doch um den SynoLocker und nicht um die Fähigkeiten einer "advanced" Firewall, die kaum jemand hat.
- Mitglied seit
- 03. Feb 2012
- Beiträge
- 18.991
- Punkte für Reaktionen
- 628
- Punkte
- 484
Der Thread ist schon seit ein paar hundert Posts durch, oder? Gab's auf den letzten 20 Seiten jetzt irgendwelche neuen Erkenntnisse?
Die Leute schreiben halt gerne ihren Frust auf.
Die Leute schreiben halt gerne ihren Frust auf.
Hi zusammen
Habe erst kürzlich mein erstes Syno eingerichtet. Habe auch meine gesamte Musiksammlung Lossless darauf. Habe VPN-Zugriff aktiviert sowie Port 5001 freigegeben, da ich mit der DS-App Musik streamen möchte (für Drittanwender - Kollegen). Dafür habe ich einen weiteren https-Port für die Audio-Station konfiguriert und Port 5001 an den neu konfigurierten internen https-Port der Audiostation zugewiesen. Somit kann von extern über Port 5001 nur noch auf die Audio-Station eingeloggt werden. Diesen Zugriff möchte ich für externe User belassen. Alle weiteren Zugriffe sind nur über OpenVPN lokal erreichbar. Wie ich den früheren Threads entnehmen kann wäre es eigentlich wünschswert nur sehr hohe Portnummern (virtuelle Ports) freizugeben am Router (keine eindeutigen Syno-Ports). Hier kommt jedoch die App (DS Audio) nicht mehr klar - diese verwendet offenbar immer nur Port 5001 und kann nicht umkonfiguriert werden. Um Synolocker und Co. möglichst wenig Möglichkeiten für ein Eindringen zu gewähren möchte ich eigentlich Port 5001 auf dem Router gar nicht mehr öffnen. Oder schätzt ihr die Möglichkeit ein System zu kompromittieren als ziemlich tief ein, wenn mit dem "umgelegten" Port nur noch ein Einloggen auf die Audiostation möglich ist? Wäre natürlich auch froh für Infos, wie mit der DS-Audio App ein anderer Port als 5001 genutzt werden kann (oder allenfalls Alternativ-Apps?). Dann könnte nur noch ein virtueller Port im hohen Bereich geöffnet werden.... Wäre nicht die absolute Sicherheit - würde aber wohl genügen um Standartangriffe abzuwehren. Wer mehr Aufwand betreibt kann m.E. sowieso alles knacken. Ein solcher Aufwand dürfte aber für eine private Syno kaum für einen Angreifer lohnen. THX für Eure Meinung.
Sorry wenn ich etwas aus dem Thema falle.... fand aber keinen andern sinnvollen Thread für diese Frage.
Ric13
PS: Zurzeit habe ich alle Portweiterleitungen sicherheitshalber ausgeschaltet und greife nur noch über VPN via Fritzbox auf die Syno von ausserhalb zu.....
Habe erst kürzlich mein erstes Syno eingerichtet. Habe auch meine gesamte Musiksammlung Lossless darauf. Habe VPN-Zugriff aktiviert sowie Port 5001 freigegeben, da ich mit der DS-App Musik streamen möchte (für Drittanwender - Kollegen). Dafür habe ich einen weiteren https-Port für die Audio-Station konfiguriert und Port 5001 an den neu konfigurierten internen https-Port der Audiostation zugewiesen. Somit kann von extern über Port 5001 nur noch auf die Audio-Station eingeloggt werden. Diesen Zugriff möchte ich für externe User belassen. Alle weiteren Zugriffe sind nur über OpenVPN lokal erreichbar. Wie ich den früheren Threads entnehmen kann wäre es eigentlich wünschswert nur sehr hohe Portnummern (virtuelle Ports) freizugeben am Router (keine eindeutigen Syno-Ports). Hier kommt jedoch die App (DS Audio) nicht mehr klar - diese verwendet offenbar immer nur Port 5001 und kann nicht umkonfiguriert werden. Um Synolocker und Co. möglichst wenig Möglichkeiten für ein Eindringen zu gewähren möchte ich eigentlich Port 5001 auf dem Router gar nicht mehr öffnen. Oder schätzt ihr die Möglichkeit ein System zu kompromittieren als ziemlich tief ein, wenn mit dem "umgelegten" Port nur noch ein Einloggen auf die Audiostation möglich ist? Wäre natürlich auch froh für Infos, wie mit der DS-Audio App ein anderer Port als 5001 genutzt werden kann (oder allenfalls Alternativ-Apps?). Dann könnte nur noch ein virtueller Port im hohen Bereich geöffnet werden.... Wäre nicht die absolute Sicherheit - würde aber wohl genügen um Standartangriffe abzuwehren. Wer mehr Aufwand betreibt kann m.E. sowieso alles knacken. Ein solcher Aufwand dürfte aber für eine private Syno kaum für einen Angreifer lohnen. THX für Eure Meinung.
Sorry wenn ich etwas aus dem Thema falle.... fand aber keinen andern sinnvollen Thread für diese Frage.
Ric13
PS: Zurzeit habe ich alle Portweiterleitungen sicherheitshalber ausgeschaltet und greife nur noch über VPN via Fritzbox auf die Syno von ausserhalb zu.....
jahlives
Benutzer
- Mitglied seit
- 19. Aug 2008
- Beiträge
- 18.275
- Punkte für Reaktionen
- 4
- Punkte
- 0
witzig finde ich dass der Screeny aus diesem Post http://www.synology-forum.de/showth...n-durch-Hacker&p=445151&viewfull=1#post445151 der ja als Grundlage für die Behauptung DSM5 sei auch betroffen verwendet wurde, jetzt sogar an der Quelle ersetzt wurde
- Status
Kaffeautomat
Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.
Als Dankeschön schalten wir deinen Account werbefrei.
