News QNAP: NAS-Systeme von Ransom­ware „eCh0raix“ angegriffen

[High Definition]

Deshalb setz ich auf OpenMediaVault mit selbst gebautem NAS!

Naja mal hoffen das du und viele andere fleißig up-to-date sind, denn OMV ist auch nicht fehlerfrei
CVE-2017-1000065
CVE-2013-3632
und ganz zu schweigen vom Debian Unterbau
https://www.cvedetails.com/vulnerability-list/vendor_id-23/Debian.html

Also ich finde es zu pauschalisieren schlichtweg "unwissend"

 

[Cool Master]

Warum setzt man sein NAS direkt ins Internet? Da würde ich doch eher ein VPN-Server drauf haben mit dem ich nur drauf komme wenn ein Gerät auf der Whitelist steht.

 

[corvus]

Aber mir werden fehlgeschlagene Einlogversuche per Mail zugeschickt und bruteforce wird weitestgehend verhindert. Also bleib ich dabei OMV schützt schon besser vor solchen Attacken.

Kann quasi jede NAS, QNAP auf jeden Fall. Muss man halt konfigurieren. Das ist kein OMV-exklusives Feature.

 

[Phear]

Um Vollzugriff zu bekommen braucht man doch wohl den Benutzernamen & das Passwort, oder?

Und? Selbst wenn du admin kennst, wünsche ich dir viel Spaß bei der Bruteforce Attacke, wenn das Kennwort 20+ Stellen hat Man kann ja schon das Risiko deutlich minimieren indem man das Teil nicht von außen erreichbar macht.
Das ist es doch egal, ob admin oder HansWurst der Adminuser ist. Klar erreicht du dadurch minimal höhere Sicherheit, aber das ist mit Sicherheit nicht das Hauptproblem für solche Attacken.

 

[Xmechanisator]

Ich wette die QNAP systeme wurden über myQNAPcloud angegriffen wurden und einfach nicht DAU sicher. Admin/Admin wie du es beschrieben hast. Selbstbau impliziert ein höheres Sicherheitsverständis aber ich geb euch in sofern recht, dass OMV nicht zwangsläufig bedeutet dass es sicherer ist. Aber mir werden fehlgeschlagene Einlogversuche per Mail zugeschickt und bruteforce wird weitestgehend verhindert. Also bleib ich dabei OMV schützt schon besser vor solchen Attacken.

Naja, ich würde nicht unbedingt sagen "darüber wurden die angegriffen", da meines Wissens aktuell noch nicht sehr viel bekannt ist. Fakt ist, dass es nicht gerade die angenehmste Situation für die betroffenen Benutzer ist. Unabängig davon ist jedes Gerät, welches aus dem Internet erreichbar ist, erstmal potentiell gefährdet. Die Frage sollte eher sein, muss so ein Gerät zwingend aus dem Internet direkt erreichbar sein und zweitens: kann man die genutzten Standardports umlegen? OMV ist genauso unsicher wie alles andere, was anmelden über Benutzernamen und Passwort zulässt bei Bruteforce attacken. (Ich weiß jetzt nicht, ob OMV nach XX versuchen blockiert, aber das können tendenziell viele Systeme mittlerweile) Ich erfreu mich einfach derweil an meinen öffentlich erreichbaren SSH Port auf einem nicht Standardkonformen Port und die 0 Angriffe/Einloggversuche, die ich darauf seit ca. nem Jahr verzeichne.

 

[Herdware]

Ich würd mir da fast mehr sorgen machen falls das Netzteil abraucht und alles inkl. der Backup platte grillt.

Die Backupplatte ist nicht direkt im NAS verbaut, sondern per USB daran angeschlossen. Da war ich etwa ungenau.

Ein Wohnungsbrand oder sowas kann natürlich trotzdem beide gleichzeitig mitnehmen, aber dann habe ich größere Sorgen als meine private Datensammlung. 🙂

 

[Tiu]

Klar erreicht du dadurch minimal höhere Sicherheit,

Öhm, minimal?
es sind 50% und 50% sind alles andere als minimal, oder?

 

[[wege]mini]

Man kann ja schon das Risiko deutlich minimieren indem man das Teil nicht von außen erreichbar macht.

klar....mein auto ist auch fast diebstahl sicher, wenn ich die räder jeden abend ab schraube.

den port 8080 zu sperren, ist ja fast so witzig wie den port 21 oder port 23...oder gleich port 80....warum nicht.

am ende bleibt stehen, leute die immer noch nicht schaffen, ihre ports zu forwarden und am ende witzige dinge zu nutzen wie 4711 (der alte battle field port, der wird selbst bei hardcore filesharing blocker anbietern nicht gesperrt) , die sollten ihr NAS auch nicht ins internet bringen....

bei mir kommt bei standart ports meist von aussen auch: kein anschluss unter dieser nummer.

mfg

p.s.

14567 ist auch einer der "standart" ports, die man nutzen kann und (noch) halbwegs save ist....auch ein alter battlefield port....der ist immer "frei", wird von den anbietern nicht gedrosselt und im zweifel kann von aussen keiner sehen, ob du einen bf1942 server am laufen hast oder etwas anderes machst. zum glück benutzt EA die teile auch noch, daher sind die ziemlich "save" man schwimmt quasi mit der welle mit. für irgend was muss ja auch EA gut sein

 

[Phear]

es sind 50% und 50% sind alles andere als minimal, oder?

Dann mach halt höhere raus. Meine Güte. Als wenn du den Inhalt nicht verstehen willst. Der Punkt ist, dass du ein vernünftigeres Kennwort niemals in überschaubarer Zeit geknackt bekommst. Der Aufwand der betrieben wird, erreicht immer nur Leute, die einfach alles offen ins Netz stellen. Und genau für die ist auch die Info hier.
Als wenn auch nur einer der 0815 Bürger draußen, dem das NAS als Allheilmittel für Backup gepredigt wird, jemals was von Port Forwarding gehört hat. Ich bitte euch.

 

[Tulol]

Bruteforce zu verhindern ist jetzt nicht so schwer.
vernünftiges passwort und Benutzername, gepaart mit einer loginsperre nach x fehlveruchen und Benachrichtigung dürfte jede Bruteforce Attacke ins Leere laufen lassen.
Wer sich einen NAS hinstellt und vom Internet aus erreichbar macht sollte sowas einfach wissen.
Wer das nicht beachtet hat schlicht und einfach grob fahrlässig gehandelt.

Wer bei Rot über eine Ampel fährt und dafür den Lappen abgenommen bekommt, wird auch kein Mitgefühl erwarten, oder?

 

[[wege]mini]

Als wenn auch nur einer der 0815 Bürger draußen, dem das NAS als Allheilmittel für Backup gepredigt wird, jemals was von Port Forwarding gehört hat

guter punkt....traurig aber leider wahr.

mfg

 

[Shririnovski]

Jedes mit dem Internet verbundene Gerät ist pauschal angreifbar. Manche einfacher, manche schwieriger. Dazu kommt immer noch der Faktor Mensch (z.B. via admin:admin).

Hier spannend ist für mich vor allem wie QNAP mit der Situation umgeht.

Der gemeine DAU, der sein NAS dem Internet direkt präsentiert und super unsichere Passwörter wählt, der interessiert mich da weniger. Dort gilt halt ein klassisches "Pech gehabt! Selbst Schuld!".

 

[Benji18]

Und warum sollte dir in der Kombination nicht gleiches blühen? Die „Argumentation“ kommt mir ein wenig „einfach“ vor.

Ich denke er meint aus dem Aspekt heraus, weils geringe Verbreitung hat und somit wie Linux od. Mac eher uninteressant ist hier eine Automatisierte Maleware zu entwickeln.

 

[Wattwanderer]

Warum ist es immer wieder QNAP?

Synology dürfte höheren Marktanteil haben, dennoch liest man von ihren Geräten seltener?

 

[k0ntr]

Ich erstelle ab und zu Backups vom PC auf meinem NAS. Brauche ich jetzt eine einzelne 8TB Festplatte um ein Backup meines NAS zu erstellen?

 

[Herdware]

Synology dürfte höheren Marktanteil haben, dennoch liest man von ihren Geräten seltener?

https://www.computerbase.de/suche/?q=Synology+Sicherheitslücke

Bezüglich QNAP sind es genauso viele bzw. wenige Treffer:
https://www.computerbase.de/suche/?q=QNAP+Sicherheitslücke

Aber das kann natürlich auch dadurch verzerrt werden, dass Synology verbreiteter ist und deshalb mehr Interesse an solchen News besteht.

 

[Troma_Fanboy]

Mein Backuplaufwerk hängt allerdings aus Bequemlichkeitsgründen (Ergänzung: per USB) am NAS. Es könnte von einem Schädling mit Admin-Rechten theoretisch gleich mit verschlüsselt werden.

(In diesem Fall bin ich als Synology-Nutzer nicht betroffen, aber die hatten ja auch schon ihre Sicherheitslücken.)

Bei mir genauso, ich hab aber eine Raidsonic Box die ich per Knopfdruck ein und ausschalten kann.
Da sie quasi nur als Backup-Box dient wird sie nur dafür eingeschaltet. Das Backup Programm startet dann automatisch bei erkennen der Festplatten mit dem Update. Eine Malware müsste also diesen Zeitpunkt abwarten und dann loslegen.
Mein Backup Programm wirbt aber auch mit einem Schutz vor genau solcher Malware, bisher aber noch nicht testen müssen

Warum ist es immer wieder QNAP?

Synology dürfte höheren Marktanteil haben, dennoch liest man von ihren Geräten seltener?

Ich vermute das es an der stärkeren Konfigurierbarkeit von QNAP liegt, kann das aber selbst nicht wirklich einschätzen da ich nie ein Synologie NAS hatte.
Die Angreifbarkeit des Systems in diesem Fall liegt ja fast eher an User-Error. Es ist noch soo schwer sich zu schützen.

Ich erstelle ab und zu Backups vom PC auf meinem NAS. Brauche ich jetzt eine einzelne 8TB Festplatte um ein Backup meines NAS zu erstellen?

Ein Backup auf ein NAS ist ein ziemlicher Unsinn.
Der Sinn eines NAS ist es Daten für verschiedene Endgeräte über ein Netzwerk zur Verfügung zu stellen. Da auf ein Backup idealerweise niemand ausser dem Administrator direkten Zugriff haben sollte ist ein NAS völlig ungeeignet.
Daher ja, es ist sinnvoll dein Backup woanders hin zu machen, z.B. auf ein DAS wie die von mir verwendete Raidsonic Box (oder eine einfache externe Platte).
Idealerweise hat man auch ein Off-Site Backup.

Ich nutze mein NAS wirklich nur zu dem Zweck Daten über mehrere Geräte, auch über das Internet verfügbar zu machen. Daher hab ich auch nicht alle meine Daten dort liegen und vorallem keine Backups.

Grüße
Alexander

 

[Cool Master]

Bruteforce zu verhindern ist jetzt nicht so schwer.

Fail2Ban läuft auf allen meiner Server. Login und Password sind aber eh völlig veraltet. Public Key Authentication ist das Stichwort. Das ist deutlich sicherer als jeder Login + PW.

Ergänzung (22. Juli 2019)

Ein Backup auf ein NAS ist ein ziemlicher Unsinn.

Nö ist es nicht. Hab ich z.B. auch für mein Mac das wird auf dem NAS gesichert und auch nochmals mittels externer HDD jede Woche.

 

[Falc410]

Den besten Schutz bietet es einfach den Zugriff aus dem Internet aufs NAS zu blocken.

Bringt doch nichts wenn du das NAS als Netzwerklauf eingebunden hast mit Schreibrechten und du dir eine Ransomware auf deinem PC einfängst die dann gezielt Netzlaufwerke verschlüsselt. Gab es in der Vergangenheit zur genüge.

Was hilft ist ein ordentliches Backup!

 

[Wilhelm14]

Der genaue Weg wäre interessant. Brute Force kann eigentlich mit Fail2Ban verhindert werden: https://www.qnap.com/de-de/how-to/faq/article/so-gestalten-sie-ihr-turbo-nas-sicherer
Jetzt wird aber gleichzeitig von alten Betriebssystemversionen gesprochen. Fail2Ban ging schon immer und Brute Force an sich kann immer "probiert" werden.

Selbstbau impliziert ein höheres Sicherheitsverständis

Selbstbau führt häufig zu einer trügerischen Selbstsicherheit. Ich behaupte einfach mal, dass die Programmierer von Synology und Qnap mehr Ahnung als 99 % der Nutzer haben.
Zumindest mich eingeschlossen. 🙂