Paladin-HH
Ensign
- Registriert
- Okt. 2005
- Beiträge
- 205
Genau genommen: ja!k0ntr schrieb:
News QNAP: NAS-Systeme von Ransomware „eCh0raix“ angegriffen
- Ersteller Frank
- Erstellt am
- Zur News: QNAP: NAS-Systeme von Ransomware „eCh0raix“ angegriffen
ata2core
Lieutenant
- Registriert
- Mai 2008
- Beiträge
- 780
Wenn man sich aktiv schützt kann kann durch Brute-Force-Angriffe nichts passieren, man muss sich halt vorher Gedanken manchen und die Sicherheitsfunktionen nutzen die angeboten werden:
Erkannt durch:
Wer will kann ja mal nachschauen wo die IP-Adresse lokalisiert ist.
Erkannt durch:
Wer will kann ja mal nachschauen wo die IP-Adresse lokalisiert ist.
>|Sh4d0w|<
Commander
- Registriert
- Jan. 2009
- Beiträge
- 2.489
SonGuko schrieb:
Vermutlich sicherer als Area 51
Xmechanisator
Lt. Junior Grade
- Registriert
- Apr. 2012
- Beiträge
- 337
Also wenn du es wirklich richtig machen willst:k0ntr schrieb:
1. Backup PC -> NAS
2. Backup NAS -> Externe HDD
3. Weiteres Backups der NAS auf eine externe HDD, welche sich nicht in deiner Wohnung/Haus befindest, sondern bei Kollegen/Arbeit oder ähnlich unterkommt. Im Idealfall nimmt man eine externe HDD mit zu dem Kollegen/Arbeit und tauscht die HDDs dort einfach miteinander.
Abgesichert* bist du damit gegen:
1. PC Ausfall
2. NAS Ausfall
3. "Ausfall" deines Wohnsitzes (sprich, dir brennt alles ab oder ähnliches)
* Abgesichert ist immer mit Vorsicht zu genießen. Deine Daten sind da, aber der Zustand ist an den Zustand der Daten zum Kopierzeitpunkt gekoppelt.
Gnageseil
Ensign
- Registriert
- März 2017
- Beiträge
- 226
Das ergibt für mich keinen Sinn.Troma_Fanboy schrieb:
Man kann schlecht mit externen Festplatten durch die Gegend rennen. Umfangreiche Systeme lassen sich so gar nicht vernünftig sichern, vor allem wenn sie größer werden und regelmäßig gesichert werden sollen. Genau da spielen NAS und SAN ihre Stärken aus (Snapshots, Kaskadierung bla bla). Um den Zugriff zu steuern gibt es eine Benutzerverwaltung.
Und ein DAS, ist auch nichts anderes als eine externe Platte, die zu allem Überfluss auch noch direkt neben dem Gerät stehen muss, oder? Stichworte: räumliche Trennung.
Ergänzung ()
Das macht man zwei Wochen lang und dann geht es einem auf die Nüsse.Xmechanisator schrieb:
Ich würde eine automatische Sicherung übers Internet, hin zu einem anderen NAS empfehlen. Die Verbindung zwischen Geräten kann dabei verschlüsselt sein oder/und über ein VPN aufgebaut werden.
Zuletzt bearbeitet:
SonGuko schrieb:
Selbstbau impliziert meistens das Benutzen von Google auf der Suche nach Step by Step Tutorials um dann, gerade im Linux Umfeld, schön Zeile für Zeile zu Copy Pasten ohne sich Gedanken darüber zu machen, was genau man gerade macht. Dein OMV ist nichts anderes als ein Debian. Und deins hängt wohl im Internet. Du bist pauschal gesagt erstmal nicht sicherer.
Herdware
Fleet Admiral
- Registriert
- Okt. 2011
- Beiträge
- 17.834
Paladin-HH schrieb:
Naja. Wenn alle Daten auf dem NAS selbst schon ein Backup sind, hat er ja immer noch das Original auf dem PC. Wenn etwas mit dem NAS passieren sollte, kann man das z.B. von einem Schädling verschlüsselte Backup/NAS also einfach löschen und neu aufsetzen.
Dreifache Sicherheit ist natürlich besser als doppelte (noch dazu, wenn man auch ein Offsite-Backup hat), aber für den Privatgebrauch muss man es ja nicht unbedingt übertreiben.
Natürlich sperrt man die Ports wenn nicht benötigt! Was ist das für eine Argumentation? Wenn du keine Reifen am Auto brauchst, dann schraub sie eben ab. Übrigens verwendet kein normaler Mensch mehr Telnet? Wolltest du einfach ein paar Ports aufzählen oder was?[wege]mini schrieb:klar....mein auto ist auch fast diebstahl sicher, wenn ich die räder jeden abend ab schraube.
den port 8080 zu sperren, ist ja fast so witzig wie den port 21 oder port 23...oder gleich port 80....warum nicht.
am ende bleibt stehen, leute die immer noch nicht schaffen, ihre ports zu forwarden und am ende witzige dinge zu nutzen wie 4711 (der alte battle field port, der wird selbst bei hardcore filesharing blocker anbietern nicht gesperrt) , die sollten ihr NAS auch nicht ins internet bringen....
bei mir kommt bei standart ports meist von aussen auch: kein anschluss unter dieser nummer.
mfg
p.s.
14567 ist auch einer der "standart" ports, die man nutzen kann und (noch) halbwegs save ist....auch ein alter battlefield port....der ist immer "frei", wird von den anbietern nicht gedrosselt und im zweifel kann von aussen keiner sehen, ob du einen bf1942 server am laufen hast oder etwas anderes machst. zum glück benutzt EA die teile auch noch, daher sind die ziemlich "save" man schwimmt quasi mit der welle mit. für irgend was muss ja auch EA gut sein
Außerdem hat das binden auf non-standard Ports keinen Einfluss auf die version disclosure vom entsprechenden Service. Das musst du dann schon selber Einstellen, wenn das unterbunden werden soll. Ein Angreifer macht auch einen Fullrange Portscan (1-65535) und dann findet der trotzdem deine tolle NAS auch wenn du den Port auf 4711 geforwarded hast. Das ist ein bekannter Port für Filesharing etc. Als Angreifer würde ich da nochmal besonders nachbohren.
Zuletzt bearbeitet:
![[wege]mini](https://pics.computerbase.de/forum/avatars/m/778/778975.jpg?1575883542){kind=avatar}
[wege]mini
Banned
- Registriert
- Juli 2018
- Beiträge
- 8.357
S4v4nt schrieb:
genau....du warst noch niemals angreifer....du kannst nicht wissen, wen du anbohrst.
irgend welche home user, gerne...einen EA server...lass mal lieber sein....bestimmte ports lässt man bei full range scan aus. oder du weist vorher wen du penetrieren willst. dann ist aber unsere gesamte argumentation nutzlos.
wenn jmd. weis, dass ich einen server habe, ist das grundsätzlich mein fehler.
mfg
Troma_Fanboy
Ensign
- Registriert
- Okt. 2011
- Beiträge
- 130
Nur weil du es macht ergibt es nicht automatisch SinnCool Master schrieb:
Ein Backup auf das von vielen Seiten zugegriffen werden kann und permanent online ist ist immer in der Sicherheits eingeschränkt.
Verstehe deine Ausführungen nicht. Warum sollte ich mit externen Festplatten durch die Gegend rennen? Und warum sollte das nicht gehen?Gnageseil schrieb:
Ich verstehe auch nicht warum ein NAS für Snapshots und inkrementelle Backups nötig sein sollte, das mache ich alles auch auf meinem DAS.
Ein NAS steht auch zu 99% in der gleichen Wohnung wie die Geräte von denen die Backups eingespielt werden, da ist dann auch keine räumliche Trennung gegeben.
Ich kann den Komfort verstehen der damit verbunden ist viele verschiedene Geräte zentral auf einen großen Massenspeicher im Netzwerk zu sichern. Nur sind die Daten dort halt nicht sicher sondern recht einfach angreifbar. Es muss nur eines der Geräte die Zugriff drauf haben kompromitiert sein, oder wie hier beschrieben das NAS selbst und alle Backups sind gefährdet. Das hat halt wenig mit Datensicherung zu tun.
Der entscheidende Schritt wäre bei so einer Konfig dann das NAS entsprechend zu Sichern mit einer separaten Platte die nicht angeschlossen wird wenn kein Backup laufen soll.
Das Ranking der Gründe für Datenverlust dürfte irgendwie so aussehen:
Hardwarefehler (Festplatte oder Raidcontroler defekt)
Human error (versehentlich gelöscht etc.)
Ransomware
Naturkatastrophen/Brände
Wobei der letzte Punkt sehr selten ist wenn man Blitzeinschläge wegrechnet.
Ein nicht angeschlossenes DAS ist jedoch vor Überspannung recht sicher.
Ein Backup auf ein NAS schützt sicher nur gegen Hardwaredefekt und eingeschränkt vor Benutzerfehlern. Erhöht dabei aber die Gefahr von Ransomware.
Daher halte ich ein Backup nur auf ein NAS für absolut nicht sinnvoll. Ideal ist es auf ein Medium zu speichern das nur für das Backup selbst online ist und auf das nur von Denjenigen zugegriffen werden kann die auch drauf zugreifen müssen.
Die räumliche Trennung beim Backup ist sinnvoll, die Wahrscheinlichkeit das ich es brauche aber deutlich geringer. Da reicht es (mir) schon aus ein mal im Jahr die Daten auf eine externe Fesplatte zu sichern die ich in einem anderen Haushalt lagere.
Grüße
Alexander
[wege]mini schrieb:
Naja ich bin jeden Tag Angreifer. Beruflich versteht sich.
Man lässt eben keine Ports aus bei einem unbekannten System. Wie sonst soll man auch was finden?
EA Server werden auch gehacked. Was willst du mir sagen?
Naja wir wissen ja jetzt, dass du eine NAS auf einen nicht standard Port laufen lässt
[wege]mini
Banned
- Registriert
- Juli 2018
- Beiträge
- 8.357
S4v4nt schrieb:
es geht doch nicht darum, nicht gehacked zu werden....dafür gibt es eine tür, die für jeden idioten zu "hacken" ist...dann landet man in der hardware firewall umgebung und im 1ten netzwerk. ich will wissen, wer mich hackt.
wenn du EA hackst, bekommst du ganz sicher hinter her post. die sind ja eher noch harmlos und da kommt keiner bei dir zu hause vorbei.
ich hoffe, dass wenn du mich mal hacken solltest, du mir auch erklärst, dass du das beruflich machst.
sonst hast du echte probleme^^
mfg
Doch es geht darum nicht gehacked zu werden. Wir reden hier von NAS Systemen, die in Heimnetzwerken stehen und nach "Außen" offen sind. Nicht um Honeypots. Wenn du einen Honeypot hast, ist das ja schön aber dann weiß ich nicht über was wir diskutieren?[wege]mini schrieb:es geht doch nicht darum, nicht gehacked zu werden....dafür gibt es eine tür, die für jeden idioten zu "hacken" ist...dann landet man in der hardware firewall umgebung und im 1ten netzwerk. ich will wissen, wer mich hackt.
wenn du EA hackst, bekommst du ganz sicher hinter her post. die sind ja eher noch harmlos und da kommt keiner bei dir zu hause vorbei.
ich hoffe, dass wenn du mich mal hacken solltest, du mir auch erklärst, dass du das beruflich machst.
sonst hast du echte probleme^^
mfg
Warum sollte ich dich hacken wollen? Bist du paranoid?
Herdware
Fleet Admiral
- Registriert
- Okt. 2011
- Beiträge
- 17.834
Troma_Fanboy schrieb:
Da ist dann aber das Problem, dass das so unkonfortabel ist, dass die meisten das regelmäßige Backup irgendwann vernachlässigen werden.
Jeden Tag oder auch nur wöchentlich daran zu denken, eine externe Platte anzustöpseln und das Backup manuell zu starten, ist auf Dauer schon eine ganz schöne Herausforderung für einen typischen Privatanwender. Da schließe ich mich mit ein. Der Mensch ist halt faul und schusselig. 😉
Eine ständig angeschlossene Backupfestplatte (USB-Laufwerk) und ein vollautomatisch vom NAS angestoßenes, regelmäßiges Backup, passiert halt zuverlässig, ohne dass man sich nach dem erstmaligen Einrichten um etwas kümmern muss. Ist zwar ein Kompromiss, aber besser als nichts.
(Bei mir ist das USB-Backuplaufwerk immerhin so eingerichtet, dass nur der NAS-Admin-Account darauf zugreifen kann. Die per normalen Benutzerkonten angemeldeten Rechner sehen es nicht.)
Zumal es in der Regel zwar ärgerlich ist, wenn die private Datensammlung drauf geht, aber es ist kein totaler Weltuntergang. Im Gegensatz zu Datenverlusten bei Unternehmen.
[wege]mini
Banned
- Registriert
- Juli 2018
- Beiträge
- 8.357
S4v4nt schrieb:
ja, leider auch...natur der sache.
wir schweifen ab...menschen wie du haben die mittel selbst menschen wie mich zu hacken...normalität des seins.
meine persönlichen dinge bringe ich trotzdem von mir zu hause ins internet (3 verschiedene wohnungen) und ich sehe natürlich, wer, wann, warum auf die ftp server oder auf die vpn zugreifen will....
99,9999% kinder....alles easy, dafür sind systeme gebaut, die man einrichten kann.
wie du schon sagtest, nichts ist sicher. die normalen standart ports zu verwenden und nicht einmal zu versuchen, durch täuschen und tarnen in der masse der anderen unter zu gehen, ist mMn jedoch grob fahrlässig.
nicht mehr, nicht weniger.
wer den 8080 offen hat (von aussen) dem ist nicht zu helfen. wer den 8080 weiter verwendet und ihn einfach umlegt, weis wahlweise was er tut oder hat dicke eier
alles gut m8, no offensive....
mfg
Captain Flint
Lt. Commander
- Registriert
- Jan. 2017
- Beiträge
- 1.440
Also nicht falsch verstehen aber ich unterstelle mal das 90% bis 95% der User die sich ein wenig "aufblasen" einfach keine wichtigen/sensiblen Daten haben.
Die meisten haben ihre "Sicherungskopien" von Filmen (bevorzugt Pornos) und Serien oder Urlaubsbilder/Videos auf dem NAS liegen.
Die "Erinnerungen" lassen sich ganz einfach und kostengünstig sichern, sogar mehrfach. Der Rest ist doch vollkommen hupe ob weg/verschlüsselt/gelöscht oder abgebrannt
Wirklich sensible Daten, wenn denn vorhanden, erwarten ein wenig KnowHow und eine seriöse Datensicherung (Beratung von Fachleuten)
Ich bin seit ca. 25 Jahren in der Branche und ich kenne niemanden (seriös zu sichernde sensible Daten) der überhaupt weiß was oder wer EA ist.
Wenn sich jemand mit Datensicherheit befasst dann ist schnell klar das der/das PC/NB eine strikte Trennung von allem anderen haben muss! Wer gerne spielt und auf dem gleichen PC seine Projekte für ein High Tech Unternehmen erarbeitet und dazu noch Vavoo (o.ä) und/oder Usenext für Downloads von Warez nutzt...der gehört eh verkloppt.
Die Zeiten das Geschäftsleute vor mir standen mit einem (eins) NB wo die Frau FB und Candy C suchtet, die Kids auf *.ru Kinofilme guckten, der "Chef" auf Youporn seine Pausen verbrachte und zeitgleich das einzigen NB im Haushalt auch für Angebote, Rechnungen und das Finanzamt zuständig waren, sind nahezu vorbei.
Aufklärung und Wissen > mächtige Waffen 
Die meisten haben ihre "Sicherungskopien" von Filmen (bevorzugt Pornos)
und Serien oder Urlaubsbilder/Videos auf dem NAS liegen.Die "Erinnerungen" lassen sich ganz einfach und kostengünstig sichern, sogar mehrfach. Der Rest ist doch vollkommen hupe ob weg/verschlüsselt/gelöscht oder abgebrannt
Wirklich sensible Daten, wenn denn vorhanden, erwarten ein wenig KnowHow und eine seriöse Datensicherung (Beratung von Fachleuten)
Ich bin seit ca. 25 Jahren in der Branche und ich kenne niemanden (seriös zu sichernde sensible Daten) der überhaupt weiß was oder wer EA ist.
Wenn sich jemand mit Datensicherheit befasst dann ist schnell klar das der/das PC/NB eine strikte Trennung von allem anderen haben muss! Wer gerne spielt und auf dem gleichen PC seine Projekte für ein High Tech Unternehmen erarbeitet und dazu noch Vavoo (o.ä) und/oder Usenext für Downloads von Warez nutzt...der gehört eh verkloppt.
Die Zeiten das Geschäftsleute vor mir standen mit einem (eins) NB wo die Frau FB und Candy C suchtet, die Kids auf *.ru Kinofilme guckten, der "Chef" auf Youporn seine Pausen verbrachte und zeitgleich das einzigen NB im Haushalt auch für Angebote, Rechnungen und das Finanzamt zuständig waren, sind nahezu vorbei.
Aufklärung und Wissen > mächtige Waffen
Cool Master
Fleet Admiral
- Registriert
- Dez. 2005
- Beiträge
- 37.477
Troma_Fanboy schrieb:
Das hast du wieder hinein interpretiert. Meins in a. verschlüsselt und b. hat ein besonderen "Backup-User" der nur darauf Zugriff hat.
lokked
Ensign
- Registriert
- Dez. 2016
- Beiträge
- 200
QNAP ist in der Tat in der Vergangenheit dadurch aufgefallen das ihr Webinterface vor Lücken nur so gesprudelt hat:
https://blog.securityevaluators.com/multiple-vulnerabilities-discovered-in-qnap-nass-303b720d487b
Ist noch gar net so lange her. Die Ransomware macht nicht nur Brute Force sondern geht auf den Admin-Rechnern auch gezielt auf diese Schwächen.
Brute Force kann allerdings auch sein das man nur 4/5 Versuche braucht um das PW herauszufinden, weil es unter den Top 5 war
Davon ab wundert es mich nicht das sie empfehlen SSH abzuschalten, weil die eingebaute Implementation Müll ist. Sie selber empfehlen in ihrer WIKI eine andere zu installieren (frei konfigurierbare Version von OpenSSH).
Warum? Weil man sich NUR als root einloggen kann...und sie kennen ihre Kunden ja
https://blog.securityevaluators.com/multiple-vulnerabilities-discovered-in-qnap-nass-303b720d487b
Ist noch gar net so lange her. Die Ransomware macht nicht nur Brute Force sondern geht auf den Admin-Rechnern auch gezielt auf diese Schwächen.
Brute Force kann allerdings auch sein das man nur 4/5 Versuche braucht um das PW herauszufinden, weil es unter den Top 5 war
Davon ab wundert es mich nicht das sie empfehlen SSH abzuschalten, weil die eingebaute Implementation Müll ist. Sie selber empfehlen in ihrer WIKI eine andere zu installieren (frei konfigurierbare Version von OpenSSH).
Warum? Weil man sich NUR als root einloggen kann...und sie kennen ihre Kunden ja
[wege]mini schrieb:ja, leider auch...natur der sache.
wir schweifen ab...menschen wie du haben die mittel selbst menschen wie mich zu hacken...normalität des seins.
meine persönlichen dinge bringe ich trotzdem von mir zu hause ins internet (3 verschiedene wohnungen) und ich sehe natürlich, wer, wann, warum auf die ftp server oder auf die vpn zugreifen will....
99,9999% kinder....alles easy, dafür sind systeme gebaut, die man einrichten kann.
wie du schon sagtest, nichts ist sicher. die normalen standart ports zu verwenden und nicht einmal zu versuchen, durch täuschen und tarnen in der masse der anderen unter zu gehen, ist mMn jedoch grob fahrlässig.
nicht mehr, nicht weniger.
wer den 8080 offen hat (von aussen) dem ist nicht zu helfen. wer den 8080 weiter verwendet und ihn einfach umlegt, weis wahlweise was er tut oder hat dicke eier
alles gut m8, no offensive....
mfg
Ja so eine Grundparanoia hab ich auch
Ok, dann versteh ich dich jetzt besser. Alles gut. Es gibt immer einen Usecase für die Dinge die aus Sicherheitsaspekten kritisch sind. In Unternehmen macht man dann eine Risikoanalyse zum Beispiel.
Ein Heimanwender macht das hald nicht. Die meisten denken Sie brauchen die Urlaubsfotos von der NAS immer erreichbar. Das kann hald dann auch nach hinten los gehen. Da muss man hald abwägen. Das Ding ist, dass vielen die Risiken und die verschiedenen Angriffvektoren nicht bekannt sind.
Never ending Story
greetz
Ähnliche Themen
