News QNAP: NAS-Systeme von Ransom­ware „eCh0raix“ angegriffen

[Sebbi]

ein "normales" NAS im LAN soll einfach keinen Internetzugang haben, basta!

alles was aus dem Internet abrufbar sein soll gehört in eine eigene DMZ und der Inhalt ist nochmal im "Intranet" gesichert. Zudem erfolgt die Administrierung nur von einzelnen IPs aus und der Quatsch wie myQNAPcloud gehört abgeschafft. Dafür hat man nen DDNS Dienst und nen VPN Gateway am Laufen mit harten Portweiterleitungen.

 

[BrollyLSSJ]

Damit ist der Punkt der zeitweisen Verfügbarkeit abgedeckt, trotzdem haben noch alle möglichen Systeme drauf Zugriff. Bekommst du bei so einem alten Gerät noch Sicherheitsupdates oder stehen die Sicherheitslücken alle offen?

Noe, eben nicht. Ich muss an jedem Gerät die Benutzerdaten nach einem Reboot (egal ob NAS Reboot oder PC / Notebook Reboot) neu eingeben, damit ich wieder drauf zugreifen kann. Ich habs ja auch nicht 24 x 7 an, sondern nur zu bestimmten Uhrzeiten, an denen ich anwesend bin. Und ja, Sicherheitsupdates gibt es weiterhin (NAS habe ich 2011 oder 2012 gekauft und das letzte Sicherheitsupdate ist von diesem Monat).

 

[Troma_Fanboy]

Trotzdem kann von allen Geräten drauf zugegriffen werden. Die Hürde ist nur der Benutzername und Passwort. Hat das Gerät einen Schutzmechanismen gegen Brute-Force Attacken?
Wenn es eine Sicherheitslücke im NAS gibt reicht es wenn ein einziger Client infiziert ist um alle Backups zur vernichten.

Im übrigen ist dann aber auch der "Komfort" Faktor dahin wenn du an den Clients jedesmal manuell die Zugangsdaten eintippen musst und das auch in einem bestimmten Zeitfenstern. Das wäre wiederum mir viel zu doof. Ich drück aufn Knopf und das Backup läuft

Ich dachte jetzt auch dein NAS ist deutlich älter, WOL gibts nämlich seit 1995
Gabs damals eigentlich schon Consumer NAS, weiss das wer?

Grüße
Alexander

 

[DaBzzz]

Also wenn du es wirklich richtig machen willst:
1. Backup PC -> NAS
2. Backup NAS -> Externe HDD
3. Weiteres Backups der NAS auf eine externe HDD, welche sich nicht in deiner Wohnung/Haus befindest, sondern bei Kollegen/Arbeit oder ähnlich unterkommt. Im Idealfall nimmt man eine externe HDD mit zu dem Kollegen/Arbeit und tauscht die HDDs dort einfach miteinander.

Abgesichert* bist du damit gegen:
1. PC Ausfall
2. NAS Ausfall
3. "Ausfall" deines Wohnsitzes (sprich, dir brennt alles ab oder ähnliches)

* Abgesichert ist immer mit Vorsicht zu genießen. Deine Daten sind da, aber der Zustand ist an den Zustand der Daten zum Kopierzeitpunkt gekoppelt.

Also nicht falsch verstehen aber ich unterstelle mal das 90% bis 95% der User die sich ein wenig "aufblasen" einfach keine wichtigen/sensiblen Daten haben.
Die meisten haben ihre "Sicherungskopien" von Filmen (bevorzugt Pornos) und Serien oder Urlaubsbilder/Videos auf dem NAS liegen.
Die "Erinnerungen" lassen sich ganz einfach und kostengünstig sichern, sogar mehrfach. Der Rest ist doch vollkommen hupe ob weg/verschlüsselt/gelöscht oder abgebrannt
[...]
Wenn sich jemand mit Datensicherheit befasst dann ist schnell klar das der/das PC/NB eine strikte Trennung von allem anderen haben muss!

Etwas enttäuschend, dass noch kein ZFS / CopyOnWrite gefallen ist. Damit hat der typische Verschlüsselungstrojaner ohne Rootrechte auf dem NAS eh schonmal verkackt, denn erstens liegen dann die Originaldaten noch vor (Snapshot!), zweitens kann man wuchernden Speicherbedarf erkennen, drittens reicht evtl. der Plattenplatz gar nicht, um alle Daten verschlüsselt zu hinterlegen.
Jetzt kann der ausgefuxte Trojanääär natürlich nur drauf warten, auf mein Solaris zu hüpfen, aber der muss das von einem Linuxwirt aus tun, da die ZFS-Kiste ausschließlich über einen LAN-Port erreichbar ist, an den bei Bedarf jener Linuxrechner angestöpselt wird. Und wird sie nicht gebraucht, wird auch der Netzstecker aus der USV gezogen. Ohne Strom verschlüsselt sichs so schlecht auf ruhenden Rostscheiben...
Z2-Pool und Backuppool sind verschlüsselt (v30+), Key ist nur teilweise in Keypass hinterlegt, und die Backupplatten liegen im Büro.

Sicher keine Lösung für jeden, klar. Aber solange ich sowohl bei Datenverlust als auch bei unbefugtem Datenzugriff die Schwachstelle bin, passt das für mich.

 

[Schnatterente]

In diesem Fall bin ich als Synology-Nutzer nicht betroffen, aber die hatten ja auch schon ihre Sicherheitslücken.

Und haben wieder eine. Bei den Kollegen von iFun kann man nachlesen.

 

[Herdware]

Wenn der beschriebene Angriff auf Synology-NAS der selbe ist, wie der auf QNAP, dann ist es ja nicht mal eine richtige Sicherheitslücke, sondern einfach ein Brute-Force-Angriff auf den Standard-Admin-Account bei über das Internet erreichbaren NAS.

Dagegen können die Hersteller natürlich realtiv wenig tun, außer die Anwender bei der Installation noch stärker zu nötigen, einen neuen Admin-Account anzulegen oder zumindest ein eigenes, starkes Passwort einzustellen.

Und als Anwender sollte man den Internetzugriff nur dann aktivieren, wenn man ihn auch wirklich nutzen will.

 

[corvus]

Und haben wieder eine. Bei den Kollegen von iFun kann man nachlesen.

Das ist keine Sicherheitslücke, es gibt einfach nur koordinierte Bruteforce-Attacken.

 

[RcTomcat]

Einfach die Einstellungen zum sperren von ips mit x falschen Logins aktivieren. Oder besser Anmeldungen nur von bestimmten ips erlauben.
Das kann selbst eine uralte TS410 schon. Die neuen NAS haben den security advisor an Bord welcher genau solche Dinge auch vorschlägt.

 

[m_k]

Vielleicht kann jemand einmal den technischen Ablauf dieser Angriffe erklären, also wie das im Ausgangspunkt abläuft.
Greifen die Angreifer irgendwelche beliebigen IPs an? Man weiß als Angreifer doch gar nicht, ob der Anschluss dahinter zum einen generell offen ist und zum anderen ausgerechnet hinter der IP ein NAS von QNAP (oder bei anderen Angriffen ein anderes Endgerät) ist. Das sind dann doch nur Zufallstreffer?!
Oder läuft das über ein versehentlich installiertes Schadprogramm, ähnlich wie bei Phishing-Mails, dass man einen (vermeintlich seriösen) Link anklickt und sich dann etwas installiert und sich das von alleine im System ausbreitet?

Also konkret: Durch welches Szenario kommt der Angriff ins Haus?

 

[Cool Master]

Also konkret: Durch welches Szenario kommt der Angriff ins Haus?

Durch abspielen einer präparierten Datei, wurde vor einigen Seiten schon gepostet.

 

[Gnageseil]

Das ist dann aber schon sehr aufwendig und widerspricht auch nicht meiner Aussage.
Du speicherst quasi auf 3 verschiedene NAS auf teilweise verschiedene Standorte. Jedes für sich ist nicht wirklich sicher, die Sicherheit besteht mehr darin das du so viele Kopien hast.

Nein, es ist aufwendig wäre es, wenn ich jedes erst an ein DAS stöpseln müsste.

Welche Sicherung in der Hausverkabelung sollte denn bei einem Blitzschlag auslösen? Ich hab sowas nicht im Haus.

Steckdosenleisten zum Beispiel. Es gibt natürlich auch richtige Installationen dafür die einem FI vorgeschaltet werden.

Alternativ empfiehlt es sich die Speicherkarten nicht sofort zu löschen

Dein ganzes Konzept beruht darauf, dass jemand eisern Selbstdisziplin übt, um zum Zeitpunkt X diese und jene Handgriffe zu tun oder nicht zu tun.

Du betreibst ja auch ne ganze Menge Aufwand um die Limitationen deines NAS als Backup auszugleichen.

Was sind denn die Limitationen? Es gibt funktional keine. Dein DAS ist doch auch nicht wirklich sicher, weil sich beide Systeme die meisten Fehlerquellen teilen.

nur wenn ich es tatsächlich einschalte, das DAS hängt nicht permanent am NAS, um genau zu sein hängt es an einem Client über den das Backup dann läuft.

Na und, dann leiden Deine Platten halt durch das häufige Ein- und Ausschalten. Wenn Dein Client Ransomware oder schon zerstörte auf Dein DAS überträgt bist Du halt auch angeschmiert.

Also die Behauptung, man könne mit NAS' kein Backup haben, hast Du bisher nicht schlüssig argumentiert.
Weil Dein DAS ebenfalls nicht fehlerfrei und unangreifbar ist, könnte ich problemlos genauso argumentieren.

 

[casanova8279]

Ich finde es von einer Seite nicht schlecht, dass das Unternehmen das Problem annimmt und versucht den Kunden zu helfen. Aber auf der anderen Seite wird bei der Installation die Benutzer nicht richtig "aufgeklärt".
Wenn es um die Konfiguration (in dem Fall Sicherheitsfeature) darauf ankommt, sind die meisten Nutzer leider überfordert.

• Passwort Änderung (Sonderzeichen, Groß/Kleinschreibung, Zahlen, Passwortlänge)
• Admin Passwort auf dem lokalen Client in Klartext speichern
• Zugriff nach bestimmten Fehlversuchen sperren (sowohl intern als auch extern; z.B. SSH, Telnet, etc...)
• vom Client auf den NAS mit normalen User ein Zugriff gewähren
• Zusätzlich die Daten von dem einen Share auf ein nur "admin" Share via Kopiervorgang vornehmen (fallses wegen Hardwaremangel nicht anders möglich ist)

Zumindestens ist man etwas sicher, ABER nicht zu 100%.

Ich glaube nicht, dass jeder Nutzer einen qualifizierten IT'ler dran gelassen hat.

Man kann es so sehen oder so. Egal ob eigenbau oder fertig NAS man muss sich einfach gewisse Sicherheitsstandards halten. Dann ist man halt etwas geschützt.

 

[Troma_Fanboy]

Nein, es ist aufwendig wäre es, wenn ich jedes erst an ein DAS stöpseln müsste.

Ist bei mir 1 Knopfdruck.

Steckdosenleisten zum Beispiel. Es gibt natürlich auch richtige Installationen dafür die einem FI vorgeschaltet werden.

Die Steckdosenleiste alleine hat keine Chance gegen einen Blitzeinschlag.
Ein Blitzschutzkonzept besteht aus Grobschutz, Mittelschutz und Feinschutz. Diese Steckerleisten fallen in letzte Kategorie. Das ganze funktioniert nur als mehrstufiges Konzept, und selbst das ich kein 100%iger Schutz.

Dein ganzes Konzept beruht darauf, dass jemand eisern Selbstdisziplin übt, um zum Zeitpunkt X diese und jene Handgriffe zu tun oder nicht zu tun.

Ist das heute schon eiserne Selbstdisziplin? Dann ist es aber echt weit gekommen.
Es ist ein bisschen Mitdenken (reicht schon ein Serientermin im Kalender und Backup machen wenn man wichtige Daten ablegt) und ein etwas Mitarbeit (Knopf drücken, alternativ Kabel einstecken) nötig.

Was sind denn die Limitationen? Es gibt funktional keine. Dein DAS ist doch auch nicht wirklich sicher, weil sich beide Systeme die meisten Fehlerquellen teilen.

Wie oft muss ich es noch erklären? Ich habs mehrfach geschrieben was das NAS als sicheren Schutz limitiert. Das wofür ein NAS eben gemacht ist, den Zugriff auf Daten möglichst einfach zu gestalten sowie Fernzugriffe zuzulassen ist bei Datensicherungen die Limitation.
Die kannst du nur ausschalten wenn du es nicht als NAS betreibst. Mein QNAP kann ich z.B. als DAS betrieben, oder per Ethernet Kabel direkt an einem PC, ist für mich dann aber kein NAS mehr.

Na und, dann leiden Deine Platten halt durch das häufige Ein- und Ausschalten. Wenn Dein Client Ransomware oder schon zerstörte auf Dein DAS überträgt bist Du halt auch angeschmiert.

Willst du mir sagen das alle deine Platten permanent durchlaufen?
1 mal am Tag einschalten halten sie aber trotzdem über Jahre aus, da musst du dir keine Gedanken machen.
Wenn mein Client mit Ransomware infiziert ist bekomme ich das schon mit bevor ich die Backup Platten anschließe. Das ist ja genau der Vorteil.
Da ich inkrementelle Bckups mache habe ich auch immer ältere Datenversionen zur Verfügung.

Also die Behauptung, man könne mit NAS' kein Backup haben, hast Du bisher nicht schlüssig argumentiert.
Weil Dein DAS ebenfalls nicht fehlerfrei und unangreifbar ist, könnte ich problemlos genauso argumentieren.

Natürlich nicht, ich hab sowas nie behauptet, warum legst du mir das in den Mund?
Ich habe behauptet es ist nicht sinnvoll.
Ein DAS ist nur solange angreifbar wie es angeschlossen ist und nur von dem Client an den es angeschlossen ist. Ein NAS immer von allen Clients im Netzwerk und es wird i.d.R. nicht vom Netzwerk getrennt.

Die Diskussion ist für mich aber langsam wirklich durch, ich habe meine Argumente mehrfach dargelegt, wenn du sie nicht lesen willst oder absichtlich falsch verstehst macht es keinen Spaß zu diskutieren.

Grüße
Alexander

 

[Gnageseil]

Die Diskussion ist für mich aber langsam wirklich durch, ich habe meine Argumente mehrfach dargelegt, wenn du sie nicht lesen willst oder absichtlich falsch verstehst macht es keinen Spaß zu diskutieren.

Das kann ich verstehen. Schutz gegen Ausfall einzelner Platten, Daten dreifach vorhanden, Sicherungen laufen gestaffelt + Inkremtent, räumliche Trennung + der Komfort, dass ich mich im Normalfall nicht darum kümmern muss und nur überwache - das ist schon nicht schlecht, würde ich sagen.
Und genau aus dem Grund wollte ich Deine Aussage "Ein Backup auf ein NAS ist ein ziemlicher Unsinn." so nicht stehen lassen.
Hauptsache wir sind mit unseren Lösungen zufrieden.

 

[Troma_Fanboy]

Mit Sicherheit ist das eine sehr gute Lösung die du dir da aufgebaut hast, du hast auch Hirnschmalz reingesteckt und einen extrem hohen Sicherheitsgrad dadurch erreicht. Das meinte ich auch mit "aufwändig", nicht das du viel Arbeit hast mit deiner Strategie sondern das du viel Arbeit und Geld rein gesteckt hast das so einzurichten.

Das wird aber nicht die Regel für den üblichen Nutzer sein der seine Daten auf einem NAS im Heimnetz sichert. Viele werden da schon stolz sein wenn sie ein RAID1 drin am laufen haben.

Trotzdem bleibe ich bei meiner Aussage das es nicht sinnvoll ist sich ein NAS für die Datensicherung zuzulegen. Dafür sind die Dinger nicht gemacht, sondern dafür um Daten im Netzwerk zur Verfügung zu stellen auf die von verschiedenen Clients zugegriffen werden soll.
Das NAS kann dabei jedoch durchaus als Zwischenmedium dienen von dem aus das richtige Backup gemacht wird. So läuft es ja auch in den meisten Firmennetzwerken ab. Benutzerkonten mit Netzlaufwerken auf welche die Benutzer zugreifen können und von wo aus Zentral das Backup gemacht wird. Da wird i.d.R. nichts gesichert was am Client selbst abgelegt ist.

Wenn aber bei einer News wie hier die Rückfrage kommt ob man jetzt auch noch ne externe Festplatte braucht um sein Backup vom NAS zu sichern läuft was falsch
(Das war die Frage auf die ich ursprünglich meine Antwort gab)

Grüße
Alexander

 

[.Silberfuchs.]

Ein NAS ist ein Glied in einer Kette imho. Bei mir: 1.) Daten auf dem PC 2.) Daten auf dem NAS (Verbindung wird nicht automatisch hergestellt) 3.) externe Sicherung (Platte, Cloud verschlüsselt)

Und ja, RAID1 läuft bei mir, und ja, ich bin stolz drauf Mehr geht eh nicht mangels Laufwerken.

Im privaten Umfeld sollte das m.M.n jeder für sich selbst abschätzen was er braucht. Hauptsache überhaupt ein Backup.

 

[Wilhelm14]

von wo aus Zentral das Backup gemacht wird

Und das Ziel dieses Backups? Ist das "heutzutage" nicht wieder ein weiterer Server und keine Festplatte im Schrank? Ich hätte jetzt gedacht, dass Firmen wie Google, Microsoft oder Amazon nur noch mit Servern arbeiten und so eine Art Server-Kaskade laufen lassen. Laienhaft ausgedrückt.

 

[Troma_Fanboy]

Die Ziele dürften je nach Anwendung sehr unterschiedlich sein, das können andere Server sein, im gleichen Haus oder an einem anderen Standort, es können aber auch Bandlaufwerke sein. Z.T. werden die Bänder dann auch über Jahre aufbewahrt.

Das hängt wohl vom Wert der Daten ab. Wir haben hier im Konzern z.B. auch Konstruktionsdaten die mindestens 2-stellige Milliardenbeträge (in Euro) an Entwicklungskosten verschlungen haben. Mit Archivdaten die bis in die 70er Jahre zurück gehen und Daten die schon aus diversen gesetzlichen Haftungsgründen über Jahre aufgehoben werden müssen. Ich denke (weiß es aber nicht) das hier mehr als nur ein weiterer Server zum Backup im Einsatz ist.

Grüße
Alexander

 

[knoxxi]

Mit Archivdaten die bis in die 70er Jahre zurück gehen

Wir sind langsam gezwungen aus Platzgründen unser Archiv an Technischen Zeichnungen zu digitalisieren. Wir selbst können es nicht und viele Fachfirmen sind nicht so scharf darauf, da es bis ins Jahr 1920 zurück geht und viele Zeichnungen auf Holzschliffpapier erstellt wurden. Ich fürchte das wird ein sehr teures Unterfangen.

 

[lordZ]

Ist Synology jetzt auch konkret betroffen? Zumindest habe ich ein Mail von Synology erhalten, das mir nahe legt, diverse Sicherheitseinstellungen zu verbessern, aus gegebenen Anlässen, wobei die nicht konkret erwähnt wurden.