Synology Support Fragwürdig?

[Reeze]

Hallo zusammen,

wenn ihr meinen anderen Thread gelesen habt, habt ihr wahrscheinlich mitbekommen das ich ein kleines Problem mit meiner DS409+ habe. Nach herumrätseln meinerseits als auch eurerseits habe ich mich an den Synology Support gewandt via mail.

Und nun gehts los:
Zurück kam eine mail mit @gmail.com - und mein Outlook fängt an Phishing Warnings auszuspucken was das zeug hält... Aufforderung in der mail eine datei von DS409+ downzuloaden und ihnen via mail zu schicken.
Hm ohne schon sehr ungutes Gefühl wegen der nicht sehr offiziellen mail adresse und dann noch den Phising warnings, nun wollen die auch noch eine Systemdatei von mir... Zwei stunden gegrübelt und mich dann hingegen aller Vorsicht dazu entschieden meine Zweifel zu ignorieren. Hab ihnen die gewünschte Systemdatei (imo ein logfile) geschickt.

Heute kam ne mail, das sie ein Problem mit der Hardware vermuten und access wie telnet brauchen. TELNET?! Nichtmal SSH? Okay das geht mir jetzt doch zu weit.

Hat jmd schon Erfahrung mit dem Synology Support gemacht, und kann etwas über diese fragwürdige Vorgehensweise sagen?

Vielen lieben Dank im Vorraus,

Reeze

 

[steffi]

hallo

das vorgehen ist normal. es kommt sehr oft vor, das synology den endkunden um zugriff auf die ds/cs bittet. telnet ist dafür notwendig. das ganze sollte sich innerhalb weniger tage (bei uns in der nacht) abgewickelt haben. danach kannst du die ports wieder schließen.

seh es doch mal von der anderen seite: synology ist bemüht, dein anliegen aus dem ausland schnellstmöglich und zufriedenstellend zu klären. dafür legst du einen zugang mit benutzer und passwort für synology an. was daran fragwürdig sein soll, kann ich nich nachvollziehen. bei anderen herstellern kannst du vergeblich darauf warten und -- wenn überhaupt -- das gerät zu einer überprüfung einschicken. die abwicklung bei/über synology ist i.d.r. schnell und zuverlässig. reklamationen werden sehr wohlwollend abgewickelt. diese erfahrungen findest du hier durchweg im forum....

 

[itari]

Hallo zusammen,

wenn ihr meinen anderen Thread gelesen habt, habt ihr wahrscheinlich mitbekommen das ich ein kleines Problem mit meiner DS409+ habe. Nach herumrätseln meinerseits als auch eurerseits habe ich mich an den Synology Support gewandt via mail.

Und nun gehts los:
Zurück kam eine mail mit @gmail.com - und mein Outlook fängt an Phishing Warnings auszuspucken was das zeug hält...

welche Warnungen denn konkret und von wem kam denn genau die Mail? Ich habe bislang nur Emails aus der Domain synology.com erhalten.

Aufforderung in der mail eine datei von DS409+ downzuloaden und ihnen via mail zu schicken.
Hm ohne schon sehr ungutes Gefühl wegen der nicht sehr offiziellen mail adresse und dann noch den Phising warnings, nun wollen die auch noch eine Systemdatei von mir... Zwei stunden gegrübelt und mich dann hingegen aller Vorsicht dazu entschieden meine Zweifel zu ignorieren. Hab ihnen die gewünschte Systemdatei (imo ein logfile) geschickt.

Warum hast dich denn da nicht direkt hier ans Forum gewendet?

Heute kam ne mail,

gleiche Absender-Adresse?

das sie ein Problem mit der Hardware vermuten und access wie telnet brauchen. TELNET?! Nichtmal SSH? Okay das geht mir jetzt doch zu weit.

Telnet ist ok, weil da ja keine wirklich wichtigen Daten über die Leitung gehen ...

Hat jmd schon Erfahrung mit dem Synology Support gemacht, und kann etwas über diese fragwürdige Vorgehensweise sagen?

Die Erfahrungen mit dem Synology Support sind durchweg positiv.

Vielen lieben Dank im Vorraus,

Reeze

Hi Reeze,

ich würde an deiner Stelle deine Bedenken per Email an den Support schicken, dass du da einen @gmail-Absender bekommen hast, ist schon befremdlich. Vielleicht hackt da ja auch jemand mächtig. Aber vielleicht gibt es auch eine harmlose Erklärung.

Bislang sind keine negativen, sondern nur positive Berichte über den Synology-Support zu vermelden und ich denke, bei der Hilfe, die von denen unkompliziert geleistet wird, ist das Vertrauen durchaus zu rechtfertigen.

Grundsätzlich sollte man immer vor einer Support-Aktion ein Backup seiner Daten machen. Und ich persönlich würde während einer solchen Aktion auch keine kompromitierenden Daten auf der DS lagern.

Itari

 

[Reeze]

Hallo,

vielen Dank für eure schnellen Antworten. Ich werde erstmal noch ein paar fragen an den Support stellen müssen. Mich wundert hauptsächlich dieser absender @gmail da ich weis das sie eigentlich eine @synology domain besitzen.

Darüber hinaus, hatte ich schon in meiner ersten mail ausdrücklich darauf hingewiesen das mich phising warnings durch mails ihres supports mehr als nur überraschen.

 

[itari]

Darüber hinaus, hatte ich schon in meiner ersten mail ausdrücklich darauf hingewiesen das mich phising warnings durch mails ihres supports mehr als nur überraschen.

Manchmal genügt schon ein Link in der Mail, um diese Warnungen auszulösen. Deswegen wäre es halt interessant, welche Warnungen im Detail gegeben worden sind.

Itari

 

[HarryPotter]

Du meinst wohl:

syno.support@gmail.com;

Keine Ahnung wieso sie das verwenden, ist aber bei den meisten Supportmails so.

 

[Reeze]

Genau die mein ich.

Bin von Haus aus ein misstrauischer Mensch... Zu lang im Network Security bereich gearbeitet : )

Edit#1: @Itari, leider kann ich das im Moment nicht reproduzieren da ich in der Arbeit bin und hier keinen Zugriff auf meinen Outlook habe.

 

[goetz]

Hallo,

das sie ein Problem mit der Hardware vermuten und access wie telnet brauchen. TELNET?! Nichtmal SSH? Okay das geht mir jetzt doch zu weit.

Telnet ist ok, weil da ja keine wirklich wichtigen Daten über die Leitung gehen ...

sind username und password des root-Zugangs keine wirklich wichten Daten? Bei Telnet wird beides im Klartext übertragen (bei FTP übrigens auch). Telnet ist obsolet, streicht es aus eurem Hirn. Auch ich verstehe nicht wieso Syno nicht ssh benutzt.

Gruß Götz

 

[jahlives]

Vermutlich nimmt Synology eine Gmail Adresse wegen den IPs der Postausgangsserver. Eine IP Adresse aus Taiwan gilt für viele Spamscanner im deutschen Raum als Spamkriterium.
@goetz
Sag Synology einfach, dass du nur ssh zulässt und schon probieren sie es auch über ssh. Default ist telnet, Syno kann aber problemlos auch ssh (sogar mit Private/Pub-Key). Was Synology nicht kann ist es Emails genau zu lesen. Ich habe deutlich geschrieben: Passt auf wenn ihr Euch beim PW vertippt habt, dann wartet 60 Sekunden, sonst wird beim 2. Fehlversuch innert 60 Sekunden geblocked. Der Supporter von Synology glaubte das nicht und hat gleich die Syno IP gesperrt

 

[itari]

sind username und password des root-Zugangs keine wirklich wichten Daten? Bei Telnet wird beides im Klartext übertragen (bei FTP übrigens auch). Telnet ist obsolet, streicht es aus eurem Hirn. Auch ich verstehe nicht wieso Syno nicht ssh benutzt.

Ja klar ... Klartext - warum denn nicht? Ist doch schnell geändert das Password für root und das sollte man ja sowieso jeden Tag 2x ändern wie alle Passworte kleiner 64 Zeichen

Leute - es müssen Staatsgeheimnisse auf euren Rechnern sein ... sonst versteh ich den Wind nicht, der hier immer gemacht wird.

Itari

 

[jahlives]

Ich finde, dass wenn man schon die Möglichkeit hat den Login zu verschlüseln, dann sollte man es auch machen. telnet ist okay im LAN, da würde ich mich auch nie via ssh anmelden, aber einen telnet Port am Router zu öffnen...
Von aussen (imho) nur Public/Private Key für root via ssh. Nix telnet. ssh ist definitiv weniger anfällig für Man-in-the-Middle Attacken als telnet. Dazu gibt es die Serverzertifikate welche bei ssh sicherstellen, dass du wirklich mit deiner DS redest.
@itari
Kann man bei der DS überhaupt 64-stellige PW angeben? Gibt's da keine Grenze? Wenn ich schon dabei bin dir Löcher in den Bauch zu fragen : Sind dabei eigentlich nur ASCII-Zeichen erlaubt?

Gruss

tobi

 

[itari]

Kann man bei der DS überhaupt 64-stellige PW angeben? Gibt's da keine Grenze? Wenn ich schon dabei bin dir Löcher in den Bauch zu fragen : Sind dabei eigentlich nur ASCII-Zeichen erlaubt?

Es gibt bei den Linuxern so eine Diskussion darüber, ob nicht 8 Zeichen signifikant sind, wenn man nicht gleichzeitig den Verschlüsselungsalgorithmus von DES auf einen anderen wechselt ... Aber diese Diskussion ist sekundär für uns BusyBox-User. Ich hab nun nicht das Source durchsucht, aber ich vertraue mal den beiden Links hier soweit, dass das stimmen wird. Also man kann es konfigurieren, was die Min-Länge betrifft zwischen 5 und 32 Zeichen (default = 6) und 128 soll wohl als Default die Obergrenze sein.

https://dev.openwrt.org/browser/trunk/package/busybox/config/libbb/Config.in?rev=9130

http://www.mail-archive.com/busybox@busybox.net/msg03192.html

Mag natürlich auch anders sein, da bei uns auch das Passwort vom DS-Manager-Admin gleich das 'root'-Password ist, kann es natürlich auch im DS-Manager abgefangen werden. Der DS-Manager verknusert bei anderen Usern locker 64 Zeichen, aber ich hab natürlich keine Ahnung, ob das überall dann auch akzeptiert wird (Windows-Share-Authentifikation usw.)

Itari

PS: Auf Unix-Systemen ist es schon üblich, 3x die Cursor-Taste nach links zu nehmen ... da das dann mehrbytige Escape-Sequenzen werden (termcap/Terminfo), hat man da schnell ein mehr als 8 Stellen langes Kennwort z.B. für einen zweiten 'root'-Eintrag (anderer Name plus uid=0). Wird gerne von Technikern als Hack verwendet. Ist relativ sicher, das jeder Terminal-Typ andere Escape-Sequenzen hat und man auf diese Weise auch noch den Eingabe-Platz (Konsole) festlegt bzw. dies als zusätzliches 'Geheimnis' bei der Terminal-Emulation wissen muss.

 

[goetz]

Hallo,
@itari
natürlich hat hier keiner Staatsgeheimnisse auf der Platte (oder doch?), es geht mir darum die Nutzer zu sensibilisieren sichere Protokolle zu verwenden. Die hier Vielleser und -schreiber wissen in der Regel was sie tun. Aber viele kommen hier vorbei mit ihrem Problemchen, es wird gelöst und weg sind sie wieder. Und die unbedarften von denen erinnern sich irgendwann mal dran, ja das ging ja mit t..... , dann leite ich mal den Port weiter und mach das vom Kumpel aus. Einige werden sich auch wundern was für Inhalte plötzlich auf ihrer DS sind, hab doch nur FTP für einige User freigeschaltet und wundern sich über die Abmahnung. 1000 Files und Ordner auf Russisch mal als Beispiel.

@jahlives
intern auch nur ssh, da bin ich viel zu faul

Gruß Götz

 

[itari]

Hi goetz,

du magst ins gleiche Horn stoßen und doch haben wir vielleicht verschiedene Meinungen über den Weg. So manches Verschlüsselungsthema hier im Forum ist berechtigt, manches ist übertrieben. Auch der größtmögliche Hack ist ja nicht unbedingt das Ende der Welt, wenn man eine Sicherung hat.

Mit wäre es lieber, wir würden alle lernen, dass Sicherheit nicht ohne Anstrengung und der Bereitschaft immerzu Neues zu lernen gibt und das Sicherheit was Kostbares sein kann, dass man sich teuer erkaufen/erkämpfen und verteidigen muss. Und dass der Telnet-Port nach einem Besuch des Synology-Supports halt wieder geschlossen wird, tut auch dem Ego nicht weh

Itari

 

[goetz]

Hallo,
mir geht es bei Verschlüsselung primär um die Authentifizierung und da haben telnet und ftp nichts im Internet verloren. Der Datenstrom ist mir im wesentlichen egal, ich hab da nichts zu verbergen. Der größtmögliche Hack ist aber nicht das Vernichten der Daten auf der DS sondern diffizil versteckte daemonen, Kontent für den ich nicht gerade stehen möchte und all den anderen Mist den ich nicht auf der DS haben möchte. Und warum nicht den alten Zopf telnet abschneiden wenn es ein wesentlich sicheres ssh gibt, für ftp gibts entsprechend sichere Authentifizierungsverfahren.
Syno sollte eigentlich Vorbild sein was Sicherungsmechanismen angeht und das wäre die Bitte um ssh Zugang.

Mit wäre es lieber, wir würden alle lernen, dass Sicherheit nicht ohne Anstrengung und der Bereitschaft immerzu Neues zu lernen gibt und das Sicherheit was Kostbares sein kann, dass man sich teuer erkaufen/erkämpfen und verteidigen muss.

Eben, und dazu gehört doch eigentlich auch zu lernen welche Authentifizierunsverfahren "sicher" sind und welche ihre Daseinsberechtigung verloren haben. Für mich bedeutet das aber auch keine Verweise auf telnet mehr zu geben. Schau Dir die Entwicklung der Anspruchshaltung der Leute in den letzten Jahren an, den eigenen Kopf zu bemühen fällt immer schwerer, vorgekautes stur umsetzen.
Jetzt sind wir völlig OT. Könnte man das abtrennen?

Gruß Götz

 

[itari]

Hi Götz, ich kann deine Argumentation nachvollziehen. Nur leider merke ich seit einiger Zeit, dass das Verschlüsseln nicht mehr reicht. Ich erzähle dazu mal eine Geschichte ... seit einigen Monaten beschäftige ich mich mit Twitter. Hier gibt es eine Reihe von Diensten von Drittanbietern, die ich nur dann verwenden kann, wenn ich meine Twitter-Account-Daten (Username/Password) dort ablege. Es funktioniert auch nur, wenn ich danach das Passwort nicht mehr ändere. Selbstverständlich werden keine verschlüsselte Übertragung angeboten. Das mit Twitter ist beileibe nicht der einzige Anwendungsfall; im sogenanten social Web gibt es noch viel mehr davon.

Nun könntest du sagen, dass es Twitter nicht relevant ist oder auch, so etwas würde ich nicht mitmachen. Aber ich denke, dass ist zu kurz gegriffen, weil mich Leute fragen, was sie tun sollen und ich ihnen eine Antwort schuldig bin. Die Konsequenz ist der Aufbau virtuellen Identitäten, mit welchen auch Missbrauch betrieben werden könnte. Ein weiterer Nebeneffekt tritt bei Prominenten ein (der natürlich auch jeden anderen betreffen könnte), nämlich das man eine Fake-Identität von sich vorfindet.

Auf das Problem bin ich schon viel früher gestoßen im Rahmen von Online-Games ... wo sich mehrere Spieler einen Account teilen und man Muster vereinbaren muss, um als Mitspieler herauszubekommen, wer denn nun gerade wirklich spielt ... Wenn wir Firewall-Regeln zusammenstellen, dann betrieben wir eigentlich auch so was ähnliches und die Forderung kann in meinen Augen nicht mehr sein, sich verschlüsselt zu authentifizieren (ssh), sondern müsste in der Implementation solcher Verhaltens- und Interaktionsmustererkennungen liegen ... Das ist auch nicht ganz neu. Nur wenn man schon ein wenig Zukunftsmusik heraufbeschwören möchte, dann doch eher so was.

Itari

 

[goetz]

Hallo Itari,
Du denkst da ja schon viel weiter. Ich versuch ja nur die Sicherheitsrisiken die mit ganz einfachen Mitteln zu umschiffen sind public zu machen.
Verhaltens- und Interaktionsmuster lassen sich aber auch scannen und kopieren. Eigentlich sollten die Nutzer den Diensteanbietern die Hölle heiß machen und auf verschlüsselte Authentifizierung bestehen bzw. auf die verschlüsselte Speicherung der User-Daten bestehen.
Ih oute mich jetzt mal, bei Freenet-Singles ist der Standardlogin unverschlüsselt, man findet aber auch einen Link zum ssl Login, warum ist das nicht Standard? Ich zahl dafür und will nun gar nicht daß jemand in meinem Namen da loslegt. Wozu haben wir eigentlich Datenschutzbeauftragte?
Dieses Forum hat auch keine verschlüsselte Authentifizierung, das weiß ich und stell mich drauf ein. Zu all dem was ich hier veröffentlicht habe stehe ich auch, beobachte aber auch was in meinem Namen geschrieben wird.
In dem Thema hängt ne Menge Diskussionsstoff, wir sollten eventuell abtrennen.

Gruß Götz

 

[night2day]

Hallo jahlives,

Passt auf wenn ihr Euch beim PW vertippt habt, dann wartet 60 Sekunden, sonst wird beim 2. Fehlversuch innert 60 Sekunden geblocked. Der Supporter von Synology glaubte das nicht und hat gleich die Syno IP gesperrt

Wie hast Du das gemacht?
Mich hat letztens einer versucht zu Hacken.
Ich hatte dann 750 Einträge (Maximum)? im Sekundentakt diesen Typs im Log:
"FTP client [webmaster] from [211.194.140.9] failed to log in the server."

Mit Deiner Methode wäre beim zweiten mal Schluss gewesen.
Die IP stammt übrigens von einem Asiatischen Provider und
wird ins Südkorea administriert.

Gruß
Wolfgang

 

[Matthieu]

In den neueren Firmware-Versionen können IPs ab einer bestimmten Menge von Fehlversuchen geblockt werden. Aber das geht erst ab DSM 2.2 ...

MfG Matthieu

 

[night2day]

Hallo Matthieu,

In den neueren Firmware-Versionen können IPs ab einer bestimmten Menge von Fehlversuchen geblockt werden. Aber das geht erst ab DSM 2.2 ...
MfG Matthieu

Danke für die schnelle Antwort.
Ich hab die 2.1-0844 drauf.
Werd mir gleich mal das Changelog ansehen

Gruß
Wolfgang