Jeśli są tu użytkownicy serwerów NAS produkcji Synology i udostępniają coś z nich w sieci, to lepiej, żeby odcięli urządzenia od Internetu. SyncLocker silnie szyfruje dyski i żąda okupu w wysokości 0.6 Bitcoina: http://pronas.pl/post46290.html.
Jak na razie nieznany jest sposób zarażenia, ani metoda leczenia. Niektórzy użytkownicy byli w stanie uratować dane częściowo kopiując je szybko na inne urządzenia. Było też jednak doniesienie o zaszyfrowanych dyskach w serwerze jak i kopii zapasowej.

A propos NASów synology - warto zwrócić uwagę.

http://wrgms.com/synologys-secret-telnet-password/

Strach! Mam nadzieje ze to sie szybko wyjaśni..

Kolejny powód, dla którego budżetowe rozwiązania ( udostępnianie usług z NASa ) to zazwyczaj nie najlepsze rozwiązania.

Kolejny powód, dla którego budżetowe rozwiązania ( udostępnianie usług z NASa ) to zazwyczaj nie najlepsze rozwiązania.

Nie wyciągałbym pochopnych wniosków. Wszystko zależy od sposobu włamania. Jeżeli synology ma jakąś dziurę czy backdoora, to kiepsko ale jeżeli atak polegał na zwykłym bruteforce po ssh czy ftp to nie można mieć do nich pretensji.

Dokładnie. Jak ktoś będzie się chciał włamać, to się włamie wszędzie..

A w profesjonalnych usługach i sprzętach się dziury nie zdarzają?

Choćby backdory w ciscowych VOIPach albo serwerowe płyty główne of supermicro pokazujące hasła czystym tekstem...

Poza tym ja bym nie traktował akurat takiego NASa jako rozwiązanie budżetowe... Mają urządzenia za kilkanaście tysięcy złotych. A żeby było ciekawiej, pracują one pod kontrolą tego samego systemu operacyjnego, co te z najniższej półki. Dlatego problem dotyczy zarówno dużych aplikacji korporacyjnych, jak i domowych użytkowników.

Supermicro też można nazwać rozwiązaniem budżetowym. ;)


Poza tym ja bym nie traktował akurat takiego NASa jako rozwiązanie budżetowe... Mają urządzenia za kilkanaście tysięcy złotych. A żeby było ciekawiej, pracują one pod kontrolą tego samego systemu operacyjnego, co te z najniższej półki. Dlatego problem dotyczy zarówno dużych aplikacji korporacyjnych, jak i domowych użytkowników.
Nie nazwałbym też tego "dużą aplikacją korporacyjną". Poza tym, w korporacjach, takie urządzenia są administrowane przez personel IT i zazwyczaj nie są wystawiane na świat...


Dokładnie. Jak ktoś będzie się chciał włamać, to się włamie wszędzie..
Nie każdy.

Usługi sieciowe wymagają odpowiedniej administracji - od aktualizacji i patchowania software, do audytów haseł i wymuszenia odpowiedniej trudności hasła. Jak ktoś ma NASa wystawionego na świat bezpośrednio, ze wszystkimi usługami które on udostępnia, to jest to ogromny attack surface. Osobiście, mam średnie zaufanie do automatycznych aktualizacji tego typu sprzętu - często mają dość stare wersje oprogramowania, nawet nie zpatchowane przeciwko znanym atakom. Przygotowywanie update na bieżąco przecież kosztuje, a trzeba to przetestować na wielu urządzeniach.

Usługi sieciowe wymagają odpowiedniej administracji - od aktualizacji i patchowania software, do audytów haseł i wymuszenia odpowiedniej trudności hasła. Jak ktoś ma NASa wystawionego na świat bezpośrednio, ze wszystkimi usługami które on udostępnia, to jest to ogromny attack surface. Osobiście, mam średnie zaufanie do automatycznych aktualizacji tego typu sprzętu - często mają dość stare wersje oprogramowania, nawet nie zpatchowane przeciwko znanym atakom. Przygotowywanie update na bieżąco przecież kosztuje, a trzeba to przetestować na wielu urządzeniach.

Oczywiście masz rację, ale mówisz tutaj o procedurach a nie o konkretnym rozwiązaniu. Najlepszy system NAS nie pomoże jeżeli będziesz miał trywialne hasło oraz oprogramowanie z przed 2 lat. W tym kontekście Synology nie jest wcale gorsze od innych rozwiązań.

Ale udostępnianie usług z domu, zdając się jedynie na oprogramowanie z NAS do użytku domowego jest rozwiązaniem budżetowym.
Te procedury, to część rozwiązania, część wdrożenia usługi.

Nie, to wiedza jest 'budżetowa' ale nikt nie obiecuje, że po zakupie NASa za 5k będziesz certyfikowanym administratorem sieci...

Przy odrobinie wyobraźni można bez wydanej złotówki skonfigurować domową sieć, tak aby włamanie do niej skryptem było 'niemożliwe', więc udostępnianie dysku C w świat hasłem dupa.8 na koncie Administrator to zdecydowanie nie jest wina NASa...

Nie, to wiedza jest 'budżetowa' ale nikt nie obiecuje, że po zakupie NASa za 5k będziesz certyfikowanym administratorem sieci...
No ale właśnie o tym mowa - ta wiedza administratora jest częścią całości usługi i wdrożenia. Dodatkowo, większość NASów nie jest projektowana z myślą o bezpieczeństwie i aktualizacje, konfiguracje usług, wystawiane usługi nie są odpowiednio gotowe na udostępnianie tego publicznie i narażanie się na zautomatyzowane zagrożenia.


Przy odrobinie wyobraźni można bez wydanej złotówki skonfigurować domową sieć, tak aby włamanie do niej skryptem było 'niemożliwe', więc udostępnianie dysku C w świat hasłem dupa.8 na koncie Administrator to zdecydowanie nie jest wina NASa...
Nie zgodzę się.

Konfigurujesz, wg Ciebie super bezpieczną sieć później się okazuje, że Twoja usługa jest podatna na jakiś atak ( weźmy sobie, heartbleed, który wcale nie jest łatwy do wyexploitowania) który jest wykorzystywany przez botnety do zautomatyzowanych ataków na inne serwery i Twoja usługa jest podatna. Musisz zrobić update, może zmienić jakieś ustawienia.

Ale dramatyzujesz, nie ma całości usług i wdrożenia w produktach sprzedawanych z półki. Możesz sobie kupić najdroższy serwer i też do tego nie dostaniesz żadnej usługi jeśli jej (osobno) nie kupisz...

Dlatego mówię o odrobinie wyobraźni, mało jest lokalnych usług, które koniecznie trzeba mieć na zewnątrz po prostu je tam wystawiając. Najczęściej w zupełności wystarczy NAS stojący wewnątrz sieci i wystawiany na zewnątrz dopiero na żądanie.

Pewnie, że może być błąd w samym oprogramowaniu choćby routera i na to nic nie poradzisz, ale to jest ciut inna sprawa bo taki sam błąd może być w rozwiązaniu za 5 zł i za 5 milionów...

Ale dramatyzujesz, nie ma całości usług i wdrożenia w produktach sprzedawanych z półki. Możesz sobie kupić najdroższy serwer i też do tego nie dostaniesz żadnej usługi jeśli jej (osobno) nie kupisz...
Nie ma i dla tego nazwałem je budżetowymi. Rozwiązanie z półki, dla odbiorcy domowego, pozwalające na udostępnianie rzeczy w internecie jest rozwiązaniem bardzo budżetowym.


Pewnie, że może być błąd w samym oprogramowaniu choćby routera i na to nic nie poradzisz, ale to jest ciut inna sprawa bo taki sam błąd może być w rozwiązaniu za 5 zł i za 5 milionów...
Ale inne są procedury testowania inne są nakłady finansowe na testowanie oraz weryfikacje, nawet kodu aplikacji, w przypadku rozwiązań klasy enterprise, a rozwiązaniach budżetowych. Mam większe zaufanie do routera cisco z profesjonalnych serii niż linksysa z serii domowej. Myślę, że jest to uzasadnione, mimo, że jest to wykonywane przez tą samą firmę ( w kontekście kapitału, nie wiem jak wygląda rozdział między cisco a linksys )

Nie wydaje mi się, żebym dramatyzował. Uważam po prostu, że dzisiejszy trend do łatwego dostępu do wszystkiego, bardzo negatywnie odbija się na bezpieczeństwie, głównie przez to, że stosuje się budżetowe rozwiązania, bez odpowiedniej wiedzy i umiejętności.

Nakłady, nakładami a błędy i tu i tu występują. Jak masz pecha to i do wyłączonego komputera Ci się włamią....

Ja jetem ciągle pod wrażeniem tego, co kilka lat temu Mitnick opisał w swoich książkach. Teraz co prawda czasy się zmieniły, ale przypuszczam, że w dalszym ciągu największe włamania, czy naruszenia zabezpieczeń nie odbywają się na płaszczyźnie sprzętowej, tylko ludzkiej. Odpowiednio zmanipulowany człowiek po prostu sam podaje włamywaczowi dane potrzebne do włamania. I tutaj żaden sprzęt nie pomoże... To tak troszkę abstrahując.

A tak w ogóle, to Cisco już nie jest właścicielem marki Linksys.

Słyszałem o planach sprzedaży, ale musiałem przeoczyć newsa... W każdym razie, wiadomo o co chodzi ;)

W tej chwili, ataki nie są w 100% socjotechniczne, ale ta część socjotechniczna znacznie je upraszcza. Przykładem jest np malware w mailu, niby z biletem, ale bilet jest w archiwum ( a dokładniej, to .exe z ikonką zipa, ale tego większość nie sprawdzi ), mail jest przekonywujący, więc spora ilość użytkowników kliknie ( znam takich w firmie informatycznej co kliknęli ). Później już jest prosto, malware wykorzystuje jakiś atak na system Windows pozwalający uzyskać większe przywileje i mamy przejęty komputer, wewnątrz sieci firmowej...

Ale o jakich zabezpieczeniach my mowimy jesli pracownik sie zwalnia i nic nie jest w kwestii bezpieczenstwa zrobione?
Ja 4 miesiace temu odeszlem z firmy, ktora jest wlascicielem kilku hoteli. Do dzisiaj mam dostep do wszystkich routerow, switchy i serwerow, itp itd. Jedynie co zostalo zrobione, to zmienione haslo do mojej poczty. Nic mnie juz nie zdziwi.

Taka kultura bezpieczeństwa niestety...

Ale o jakich zabezpieczeniach my mowimy jesli pracownik sie zwalnia i nic nie jest w kwestii bezpieczenstwa zrobione?
Ja 4 miesiace temu odeszlem z firmy, ktora jest wlascicielem kilku hoteli. Do dzisiaj mam dostep do wszystkich routerow, switchy i serwerow, itp itd. Jedynie co zostalo zrobione, to zmienione haslo do mojej poczty. Nic mnie juz nie zdziwi.

Jakby co, to zawsze w pierwszej kolejności podejrzewa się byłych pracowników.:wink:

No i wracamy do sedna jakby... Nieważne, czy masz routerek mega-budżetowy TP-Linka za 60 złotych, czy jakiś kombajn Cisco za kilka - kilkanaście tysięcy z firewallami i innymi traffic-managerami, to jak baba zainstaluje jakiegoś syfa, to żaden z nich nie pomoże.

Akurat firewall może pomóc - blokując CnC botnetu oraz informując administratora o fakcie wykrycia podejrzanego ruchu. To już jest coś ;) Ale to wymaga aktywnego a nie pasywnego podejścia do bezpieczeństwa. Najsłabszą częścią systemu, jest oczywiście człowiek. A na szkolenia pracowników też często za mało się wydaje w perspektywie nawet dużej firmy, a często przeszkolenie pracowników jest znacznie skuteczniejsze niż instalacja kolejnego zabezpieczenia którego koszt trzeba liczyć w milionach.

Jakby co, to zawsze w pierwszej kolejności podejrzewa się byłych pracowników.:wink:

Spokojna rozczochrana...
Przed takim czyms zabezpieczylem sie wystosowujac pisemko przed odejsciem z firmy iz jestem w posiadaniu takich i takich danych, ze nie mam intencji ich uzyc i zmiana ich oraz nalezyte zabezpieczenie dostepu do urzadzen nalezy w kwesti menadzera dzialu. :D

http://www.benchmark.pl/aktualnosci/synology-aktualizacja-oprogramowania-dsm-serwer-nas-synolocker.html

Tak w temacie. Jesli ktos mial problemy z cryptolockerem to jest juz rozwiazanie. I do tego za darmo: https://www.decryptcryptolocker.com/

Ja jestem w szoku, że tak wielu ludzi przez ponad pół roku potrafi nie aktualizować systemu...
To nie niski budżet tylko brak wyobraźni i proszenie się o kłopoty.

Zgodze sie, ale bym nie uogolnial. Aktualizacja systemu nie powinna przebiegac -> Klik -> klik - OK -> instaluj wszystko co Windows Update znalazl.
Wiekszosc firm nie stac by testowac te poprawki i sprawdzic czy nagle po zainstalowaniu jakiegos patcha nie padnie np program ksiegowy.