Verschlüsselungstrojaner

servilianus

Benutzer
Mitglied seit
26. Dez 2017
Beiträge
898
Punkte für Reaktionen
244
Punkte
63
es ist halt grundsätzlich immer doof vom Start aus, wenn man EIN Gerät für VIELE Dienste nutzt, auf dem dann auch noch ALLE Daten liegen.

Ja, da ist was dran.
 

blurrrr

Benutzer
Sehr erfahren
Mitglied seit
23. Jan 2012
Beiträge
6.204
Punkte für Reaktionen
1.104
Punkte
248
....und nicht nebenbei noch Docker und VPN und Photostream und Webserver und Mailserver und was weiß ich was hier immer alles eingeschaltet wird, ohne dass nachgezurrt wird...

Das war vielleicht früher mal egal, aber bei all dem Schiet, der da heute so kreucht und fleucht und nix kostet aber überall hintelefnoniert...
Kann leider nur 1x Like vergeben, aber denk Dir da einfach einen ganzen Einkaufswagen voll Likes hin, denn: GENAU SO isset auch!

EDIT: Das "traurige" an der Geschichte ist allerdings, dass jetzt grade alle dicke Backen machen und in einer Woche ist das sowieso wieder vergessen und man hat keine "Zeit" oder "Lust" sich damit zu beschäftigen, denn "neu" ist das Thema bei weitem nicht... und irgendwann heisst es dann mitunter "ach... hätt ich mal..." ;)
 

LutzHase

Benutzer
Mitglied seit
06. Jul 2017
Beiträge
53
Punkte für Reaktionen
9
Punkte
8
Wenn man es so nimmt ist so eine nas die Versuchung es unsicher zu gestalten.
Vlan gut für einige Dinge aber die nas soll ja eben mehrere Bereiche abdecken.
Wenn ich nur einen Speicher wollte hätte ich free nas. Und wenn ich Ahnung hätte, hätte ich auch andere Dienste anders gelöst.
Das schönste ist/ war eigentlich immer das ich mit dem Handy jederzeit an meine Daten kam. Und ich konnte meine Frau davon überzeugen die Bilder vom Handy zu sichern, weil es mit der App einfach gut geht.

Der iot Kram selbst ist schon eine kleine Quelle des bösen...
Am schlimmsten sind da aber die großen kommerziellen.

Mal etwas weiter gedacht, kann synology mit dsm 7 für mich nicht mehr interessant werden.
Denn den größten Nutzen sah ich in der Vernetzung der Geräte und Sicherung über Standorte.
Das heißt für mich ein Gerät Mist = alle Mist
 

servilianus

Benutzer
Mitglied seit
26. Dez 2017
Beiträge
898
Punkte für Reaktionen
244
Punkte
63
Das "traurige" an der Geschichte ist allerdings, dass jetzt grade alle dicke Backen machen und in einer Woche ist das sowieso wieder vergessen und man hat keine "Zeit" oder "Lust" sich damit zu beschäftigen, denn "neu" ist das Thema bei weitem nicht... und irgendwann heisst es dann mitunter "ach... hätt ich mal

Na ja, es gehört aber schon einiges an Wissen dazu, die Themen: VLAN-Bildung auf Nicht-Plaste-Fritzbox-Routern und unterschiedlichen LAN-Netzwerken und Inter-Lan-Routing und der Abarbeitung von Firewall-Regeln a la: Block if no further match etc. korrekt umzusetzen.

Ist hier vielleicht auch nicht der richtige Ort dazu. Kann wahrscheinlich nicht jeder. Aber wenn man sich an wenige grundsätzliche Dinge hält, z.B.: VPN, und wenn VPN, nicht auf der Synology, sondern nur auf dem Router. Unterschiedliche Passworte für je unterschiedliche Anwendungsfälle. Äusserste Sparsamkeit bei Portweiterleitungen. Also solche Dinge. Also wenn man also - aufgrund dieses Threads hier - genau solche Dinge in seinem Netzwerk kritisch durchleuchtet - ist schon viel gewonnen.

Toll wäre es, wenn evtl. mal jemand hier im Forum (bsp. in Form einer Liste) zusammenstellen würde, was die wichtigsten Sicherheitseinstellungen / Maßnahmen / Basics wären.
 
Zuletzt bearbeitet:

the other

Benutzer
Sehr erfahren
Mitglied seit
17. Okt 2015
Beiträge
2.104
Punkte für Reaktionen
545
Punkte
154
Moinsen,
@LutzHase ähhh...nein?
Du kannst doch genau das (so ich dich richtig verstanden habe) machen:
NAS 1 als Fileserver zu Hause. Im Heimnetz greifen die Clients analog ihrer Userrechte auf Daten zu. Super. Von außerhalb deines Heimnetzes dann eben erst mal einen VPN Tunnel aufbauen (zB zur Fritzbox) und dann auf die Daten / Dienste zugreifen. Auch Super.
Wenn du remote backupen willst: ebenfalls via VPN Verbindung zum remote NAS (besser Router) aufbauen. Auch Super, naja, langsam, aber kannste ja nebenbei nachts laufen lassen.

Ich gebe dir in einem Punkt aber recht: synology bietet beim Kauf eine bunte Bonbon GUI, daneben viele viel bunte Smart...äh, Pakete. Das verleitet gerade am Anfang nach dem Motto "kann viel, muss alles nutzen, geil!". Und ja, das ist meist böse fahrlässig, weil das Hirn nicht weiß was das NAS da so macht...aber das liegt eher am User als am Hersteller, zwingt dich ja auch keiner immer Vollgas in jeder Situation zu fahren, nur weil der Motor das könnte, oder?

Edit: @servilianus
Ja, das ist aufwändig und kostet Zeit (und Nerven), das eigene Netz einzurichten und abzusichern. Nur; wenn ich hier immer all diese Posts seh, was die Leute sonstwie kompliziert einrichten (scheinbar oft nur von irgendwo eintippen) dann ist es eben einfach oft mist. Alles soll laufen, kaum einer (nehme mich explizit NICHT aus) weiß aber rudimentär, was das eigentlich macht und wie es funktioniert. Soll alles komfi komfi wie auf Arbeit sein, es wird aber vergessen, dass DU dan die It Abteilung bist...mit allen Vor- und Nachteilen, allen Rechten aber auch Pflichten.
jm2c
 
Zuletzt bearbeitet:
  • Like
Reaktionen: blurrrr

Wollfuchs

Benutzer
Sehr erfahren
Mitglied seit
06. Sep 2020
Beiträge
1.143
Punkte für Reaktionen
261
Punkte
159
Hmm... jaaaa. Neeeee, bisschen vielleicht und doch nein.

du hast dir hier ne karre hingestellt, die du offensichtlich mangels wissens, nicht ordentlich konfiguriert hast.
als zugriff ging und iot und sogar madame sicherte, war alles fluffig.

dass dabei die huette im gruenen nur noch tueren bekam ohne schloesser, war egal solange kein einbrecher kommt.

jetzt wo das Silber weg ist, ist es aber die schuld vom nas, das die tuer offen war? Eher nicht oder?

ja du darfst frustriert sein, dich aergern und von mir auch das nas verbrennen aber schuld ist schon der user. Und dabei ist es egal ob syno oder qnap oder terra oder sonst ein hersteller. Mit genug ignoranz und fokus auf „oh toll, ich komm auf die kiste“, gehts mit allen schief. Wem bei „ui ich komm drauf“ nicht klar ist, dass dann auch alle drauf kommen, ist halt schon .. selber derjenige, der in den arsch getreten gehoert.
 
  • Like
Reaktionen: the other

blurrrr

Benutzer
Sehr erfahren
Mitglied seit
23. Jan 2012
Beiträge
6.204
Punkte für Reaktionen
1.104
Punkte
248
Najo, kann man ja alles machen, sofern man entsprechend gewappnet ist und die mögliche Anzahl der ggf. auftretenden Probleme mit im Blick hat.
 

blurrrr

Benutzer
Sehr erfahren
Mitglied seit
23. Jan 2012
Beiträge
6.204
Punkte für Reaktionen
1.104
Punkte
248
Na ja, es gehört aber schon einiges an Wissen dazu
Nö, gehört es nicht, denn es müssen nicht immer VLANs und Co sein. Die meisten Geräte (mal von Druckern und so abgesehen) haben eine eigene Firewall (so eine Syno, oder ein Raspi ebenso). Diese kann man schon durchaus entsprechend konfigurieren. Muss man sich halt nur anlesen (und verstehen).

Im Grunde genommen finde ich es furchtbar, dass die Hersteller mit diesem "klick-klick-fertig" werben, auf der anderen Seite eine schöne Sache für die ambitionierten... Andersrum heisst es dann heutzutage (durfte ich mir auch schon anhören): Mailserver installier ich doch mit 3 Klicks!... Jou, auf jeden Fall... dennoch finde ich es (sorry Leute ;)) schön zu sehen, dass Ausbildung und jahrelange Erfahrung nun doch nicht mit 3 Klicks über den Jordan gejagt werden und für einen professionellen Betrieb von z.B. einem Mailserver (und/oder sei es nur ein Fileserver) dann noch immer einiges an Wissen von Nöten ist. Glück gehabt! ? ?
Toll wäre es, wenn evtl. mal jemand hier im Forum (bsp. in Form einer Liste) zusammenstellen würde, was die wichtigsten Sicherheitseinstellungen / Maßnahmen / Basics wären.

Du, das ist "ganz" einfach abgehandelt: "So wenig wie möglich, soviel wie nötig" (intern+extern) + "Wenn möglich, VPN!" (extern)

So heiss das Wasser mit dem VPN auch immer gekocht wird... das ist alles ziemlich nutzlos, wenn man eine komprimitierte Website besucht. Sicherlich gibt es die Massenscans die nach entsprechenden Ports/Applikationen suchen mit bestimmten Versionsnummern für die es dann wieder bestimmte Exploits gibt... dagegen hilft das VPN sicherlich, ist aber auch nur eine von "einigen" Baustellen auf dem Weg zur "halbwegs gefühlten" Sicherheit :)
 
  • Like
Reaktionen: the other

servilianus

Benutzer
Mitglied seit
26. Dez 2017
Beiträge
898
Punkte für Reaktionen
244
Punkte
63
Ist schon richtig. Man muss aber sagen: Die Anbieter verführen auch dazu. Mein Aha-Erlebnis war das Betreiben des Mailservers auf der Synology. Klar: Der ist mit ein paar Klicks installiert (und dafür wird ja auch geworben). Nur wundert man sich dann, warum eigene Mails bei niemanden mehr ankommen - weil man auf allen Blacklists dieser Welt ist. Um das zu vermeiden geht´s dann ans Eingemachte. Gerade ein eigener Mailserver ist nun alles andere als trivial. Habe für mich die Konsequenz gezogen, da ich nicht die Zeit habe, meinen Mailserver immer wieder nachzujustieren, und betreibe den nur noch als Relay über einen Anbieter. Andererseits kann man auch nicht mit dem Finger immer nur auf den Hersteller zeigen, und denken, dass man alles auf dem Silbertablett serviert bekommt. Da ist man durch Lesen und Nachfragen selbst gefordert. Gerade durch die intensive Nutzung eines Forums, wie dieses hier. Welches meine Lernkurve -gerade als Nicht-ITler - extrem hat steigen lassen.
 

blurrrr

Benutzer
Sehr erfahren
Mitglied seit
23. Jan 2012
Beiträge
6.204
Punkte für Reaktionen
1.104
Punkte
248
Najo, ist halt wie bei einem Auto... (grade bei den heutigen)... je mehr die Dinger können, desto komplizierter wird auch die Einrichtung/Wartung. "Problem" dabei ist eher, dass es fast jeder einsieht, dass die Karre zum TÜV und ggf. auch mal in die Werkstatt muss... scheint bei so einem kleinen NAS halt eher weniger der Fall zu sein. Anschaffungskosten ja, Betriebskosten (für "vernünftig") ist halt eher nicht so eingeplant, da fängt man dann schon gerne an zu basteln, was aber mitunter auch gern an der Einstellung liegt, dass IT ja eh kein Hexenwerk ist, was wiederum - meiner Meinung nach, denn erst ab da fing es so richtig an - primär an den Smartphones liegt... App installieren, fertig, benutzen. Ähnlich wird es beim NAS ja auch dargestellt. Blöd ist dann halt immer, wenn man das ganze "drum herum" nicht auf dem Schirm hat (und das ist schon ein ziemlicher Batzen). Beim Autovergleich ist es ja auch das gleiche... Auto kaufen, ggf. noch Sitzbezüge drauf, Tank vollmachen, ... Gas, Bremse, Kupplung, Führerschein braucht doch niemand, lass knacken! Was die Strassenverkehrsordnung dann allerdings dazu sagt.... ?
 

Synchrotron

Benutzer
Sehr erfahren
Mitglied seit
13. Jul 2019
Beiträge
5.097
Punkte für Reaktionen
2.065
Punkte
259
@LutzHase Hier mal etwas Pragmatisches zum Thema Backup:

Die 3-2-1 Regel besagt: 3 Datenbestände, 2 verschiedene Medien, 1 an einem anderen Ort.

Man benötigt dafür keine 3 externe Festplatten, sondern 2. Der erste Datenbestand ist das Original selbst. Eine Backup-Kopie befindet sich am Ort der DS, sollte aber nicht dauerhaft damit verbunden sein (wegen genau Angriff über die DS selbst). Eine weitere, meist etwas ältere befindet sich woanders, das kann bei Freunden, Verwandten oder auch im Bankschließfach sein.

Die „3“ kommen aus Zeiten der Großvater-Vater-Sohn-Sicherungen. Kann man auch machen, ist bei 3-2-1 aber 1 zu viel.

3TB als 2,5“ / USB 3 sind aktuell für ca. 75€ zu haben, 4 TB für knapp 100€. Das Ganze 2x, kostet 150-200€. Man muss natürlich die Disziplin haben, die Backups auch tatsächlich anzufertigen (d.h. die lokale HDD einstecken) und gelegentlich die beiden zu rotieren. Wenn man für jede HDD in HyperBackup einen eigenen Job anlegt, dann kann man immer den aktiv haben, dessen zugehörige Platte gerade im Zugriff ist. Oder man lässt beide automatisch laufen, einer davon läuft halt auf einen Fehler.

Wird tatsächlich der Datenbestand und das örtliche Backup verschlüsselt, greift man auf das andere zurück. Erst davon eine 1:1 Kopie anfertigen, mit einem garantiert sauberen Rechner. Dann zurück spielen (Achtung: Dabei ist mehr zu beachten ...). Jetzt ist das Ding halt 4 Wochen alt - was heißt das beim Privatanwender ?

Die Fotos sind meist noch auf den Handies oder SD-Karten (ich rotiere meine und habe meistens noch vieles nicht gelöscht). Mails liegen noch auf dem Server. Dokumente sind inzwischen oft auch in irgendeiner Cloud gespeichert, etc. Also lassen sich die aktuellen, fehlenden Daten weitgehend aus anderen Quellen wiederherstellen. Für eine Firma ist das kritisch, privat aber m.E. meistens machbar.

Kurzfassung: 2 ausreichend große USB-Festplatten kaufen, 2 Backup-Jobs einrichten, 2x Erstsicherung durchführen, 1x auslagern, fertig ist für 150-200€ das Privatanwender-fähige Backup. Wer das nicht übrig hat, hat es nicht besser verdient.
 
Zuletzt bearbeitet:

servilianus

Benutzer
Mitglied seit
26. Dez 2017
Beiträge
898
Punkte für Reaktionen
244
Punkte
63
und wem selbst das zu kompliziert ist, sichert halt per hyperbackup in die Synology C2-Cloud. Einfacher geht es dabei wirklich nicht.
 
  • Like
Reaktionen: Synchrotron

independence2206

Benutzer
Mitglied seit
30. Nov 2013
Beiträge
560
Punkte für Reaktionen
24
Punkte
38
Und falls dann der Angreifer über Hyperbackup wirklich die Backup Jobs löscht und auch über HB dann das aktive Backup in der Cloud löscht, so kann man sich immer noch auf dem Portal anmelden und aus dem Backup des Cloud-Anbieters die Daten wiederherstellen.
 
  • Like
Reaktionen: Synchrotron

ebusynsyn

Benutzer
Sehr erfahren
Mitglied seit
01. Jun 2015
Beiträge
458
Punkte für Reaktionen
271
Punkte
119
... Aber wenn man sich an wenige grundsätzliche Dinge hält, z.B.: VPN, und wenn VPN, nicht auf der Synology, sondern nur auf dem Router. Unterschiedliche Passworte für je unterschiedliche Anwendungsfälle. Äusserste Sparsamkeit bei Portweiterleitungen. Also solche Dinge. Also wenn man also - aufgrund dieses Threads hier - genau solche Dinge in seinem Netzwerk kritisch durchleuchtet - ist schon viel gewonnen.

Habe mein Netzwerk kritisch durchleuchtet. Ich hatte in meinem Router 5 meiner Meinung notwendige Ports offen. Will diese hier nicht nennen, es könnte ja sein, dass "böse Jungs/Mädels" hier mitlesen. Diese habe ich nun geschlossen und im Router ein VPN eingerichtet. Aufwand ca. 30 Minuten.

Nach einigen Test ausserhalb des eigenen WLANs kann ich nach dem Einschalten des VPNs (iPhone) mit Ausnahme eines Dienstes (das kriege ich auch noch hin) mein NAS wie vorher Nutzen. (Files, Fotos, ecoDMS)

Habe ich damit nun die Sicherheit erhöht?

Mit der Konsequenz, dass ich das VPN jeweils manuell aktivieren muss.
 

blurrrr

Benutzer
Sehr erfahren
Mitglied seit
23. Jan 2012
Beiträge
6.204
Punkte für Reaktionen
1.104
Punkte
248
Schau Dir mal im Zusammenhang mit dem VPN die Begrifflichkeiten "on demand" und "always on" an. Ersteres baut "bei Bedarf" eine Verbindung auf (z.B. bei Aufruf einer internen Domäne), zweiteres ... naja, nuckelt schon etwas mehr am Akku (und ist auch nicht unbedingt empfehlenswert) :)
 

Michael336

Benutzer
Mitglied seit
17. Sep 2020
Beiträge
179
Punkte für Reaktionen
46
Punkte
28
Moin....
Böse Jungs, die hier mitlesen....

Auf den Gedanken bin ich auch schon gekommen.

However....

Ich kann nur jedem raten, dass System inkl Router komplett anfangs dichtzumachen und in Ruhe zu mal aufzuschreiben... was brauche ich unbedingt, was ist nice und was brauche ich nicht.
Das Ganze dann kritisch hinterfragen....

Werbungen suggerieren ja immer:
Alles ist super.
Das und das ist ganz easy für jeden einzurichten und das brauchst Du unbedingt.
Du musst von jedem Ort der Welt auf Deine persönlichsten Daten zugreifen können und das muss mal eben gehen.

Du musst alles in Deinem Haus von Außen steuern können..

Ich würde eher sagen.... bei (zu) Risiken und Nebenwirkungen, fragen Sie Ihren IT-Fachmann.

Zumal sich dann der Sicherheitsstatus in diesem Moment darstellt, das kann am nächsten Tag wieder gleich anders aussehen, und das bedeutet, ständig wachsam zu sein.

Ist man beim Rasen doch auch, den legt man nicht nur einmal an.
 

blurrrr

Benutzer
Sehr erfahren
Mitglied seit
23. Jan 2012
Beiträge
6.204
Punkte für Reaktionen
1.104
Punkte
248
Ich würde eher sagen.... bei (zu) Risiken und Nebenwirkungen, fragen Sie Ihren IT-Fachmann.
Die kosten allerdings Geld, was die meisten (vor allem Privatleute und kleinere Firmen) eher nicht sind bereit zu investieren (und vernünftige Leute kosten halt auch vernünftig Geld). Ist doch alles ganz einfach und kann man doch mit 2-3 Youtube-Videos schauen auch alles selbst machen. Dumm ist nur, dass einem da keiner was von erzählt, was ggf. noch links und rechts noch so... naja... "lauert" ?

Aber auf der anderen Seite - mal nicht den Teufel an die Wand malen... sonst dürfen wir auch bald alle keine neuen (vernetzten) Autos mehr kaufen und so... ?

Böse Jungs werden sich das hier mit Sicherheit "nicht" geben (wäre ich einer, würde ich mir das auch nicht geben), sondern einfach meinen Scanner durchrattern lassen (spezifische Ports + IP-Range, ggf. noch mit Filtern auf bestimmte Applikationsversionen) und in der Zwischenzeit "irgendwas anderes" machen, also... vergesst den Unsinn mal schnell wieder ?? (Schneller als den ganzen Threads zu "lesen" wäre übrigens eine Suche durch das Forum nach Dingen wie Domains von DynDNS-Diensten (ddns.net, synology.me, myds.me, etc.) - wird zwar einiges abgeändert sein, aber der ein oder andere Treffer wird sich schon noch finden - ist aber auch noch Handarbeit und da hat nach wie vor keiner Bock drauf (ausser vllt irgendwelche Kiddies) ;))

EDIT: Einer würde sagen "lustig, wo wir grade beim Thema sind"... für andere ist es halt nur schnöder Alltag, aber sei's drum, es passt ja grade so gut: c't deckt auf: Dateien, IoT und Industrieanlagen ungeschützt im Netz ("Ein Scan für einen Port über alle Adressen dauert nach Angaben der Entwickler nur 5 Minuten, wenn dafür eine 10-GBit/s-Leitung genutzt würde. Wir entschieden uns, die Scans auf angemieteter Hardware bei einem Hoster zu starten, und drosselten ZMap auf unter 25 MBit/s. So mussten wir teilweise einige Tage auf einen kompletten Scan des Internets warten." <- ein "paar Tage"...also anwerfen, laufen lassen, was anderes machen... Hier liest also mit Sicherheit niemand "böses" mit ??)
 
Zuletzt bearbeitet:

SAMU

Benutzer
Mitglied seit
26. Sep 2018
Beiträge
261
Punkte für Reaktionen
12
Punkte
18
Ich habe hier jetzt alles ganz interessiert mitgelesen. Wahrscheinlich bin ich eher einer der ziemlich viele Ports offen hat :D Will gar nicht anfangen mit der Liste hier.

Was ich mich aber immernoch Frage.... Wie komme ich von iobroker aus an das Passwort der DS?
 

blurrrr

Benutzer
Sehr erfahren
Mitglied seit
23. Jan 2012
Beiträge
6.204
Punkte für Reaktionen
1.104
Punkte
248
Möglichkeiten gibt es viele, angefangen damit, dass ggf. das gleiche Passwort benutzt wird. Im Netz wäre man dann ja sowieso schon, also geht bestimmt auch noch einiges mehr (man muss ja nicht mehr am Router vorbei)... Alternativ bricht man aus dem Container aus (was auch nicht so ganz ohne ist), und und und und und... lass Deiner Phantasie sind keine Grenzen gesetzt ;) Die Wahrheit ist natürlich wesentlich technischer... ?

Den Zusammenhang zwischen ioBroker und der Syno würde ich auch "so" nicht ziehen. Das sind nach wie vor noch immer 2 Paar Schuhe... (...sollten... sein...??)
 

SAMU

Benutzer
Mitglied seit
26. Sep 2018
Beiträge
261
Punkte für Reaktionen
12
Punkte
18
Dass es viele Möglichkeiten gibt ist mir klar. Das gleiche Passwörter doof ist, ist mir auch klar (war es aber hier wohl nicht)

Aber trotzdem würde mich interessieren wie es hier in diesem Fall funktioniert hat.
Angenommen der Angreifer bricht aus dem Container über irgendeine Schwachstelle aus und wütet direkt in der Syno. Dann sollte er das Passwort nur als Hash auslesen können und nicht im Klartext.
Alternative, wütet er im lokalen Netz, muss er hier auch irgendwo Zugriff auf z.B. den PC bekommen haben wo das Passwort ja augenscheinlich im Windows-Tresor gespeichert war. Allerdings sollte er ja im Normalfall keinen Zugriff auf den Tresor haben ohne das Admin-PW vom PC zu kennen / umgehen.
 


 

Kaffeautomat

Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.

Als Dankeschön schalten wir deinen Account werbefrei.

:coffee:

Hier gehts zum Kaffeeautomat