Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 126 reacties

Een kwetsbaarheid die wordt misbruikt om ransomware te installeren op nas-systemen van Synology, is al in december gedicht. Wie DiskStation Manager heeft bijgewerkt naar de nieuwste versie, loopt geen gevaar, belooft het bedrijf.

Afgelopen week kwam aan het licht dat nas-systemen van Synology worden getroffen door ransomware die bestanden versleutelt en omgerekend 260 euro aan bitcoins eist om de bestanden te ontsleutelen. Naar nu blijkt zijn alleen niet-bijgewerkte systemen vatbaar voor de ransomware. De bug die wordt misbruikt voor het installeren van de ransomware, is namelijk in december al gedicht, blijkt uit een e-mail die Synology aan gebruikers verstuurde en die Security.nl in zijn bezit heeft.

Het is nog niet bekend om wat voor bug het precies gaat. Versie 5.0 van Synology DiskStation Manager is in ieder geval nooit kwetsbaar geweest; voor versies 4.0, 4.1 en 4.3 zijn patches beschikbaar. Voor gebruikers van wie bestanden zijn versleuteld, is voor zover bekend nog geen oplossing.

SynoLocker

Moderatie-faq Wijzig weergave

Reacties (126)

Op het forum is er een uitgebreide discussie over dit onderwerp:
http://gathering.tweakers.net/forum/list_message/42670917

Opmerkelijk hier is dat tweaker DaaNium een NAS voor zijn buurman beheert die vanaf installatie (met nieuwe schijven) DSM 5.0 draait en toch besmet is geraakt.

[Reactie gewijzigd door robertwebbe op 6 augustus 2014 12:23]

Het zou wel heel ernstig zijn als dit zo is. Mensen op DSM5 krijgen dan een schijnveiligheid met risico.
Dat kan dus als hij al eerder besmet is geraakt.
Ik vermoed dat dit 'virus/ransomware' als ergens afgelopen december is geplaatst op verschillende Nassen van Synology.

Als je dus al besmet was is het virus met de upgrade gewoon meegekomen.
Hij heeft die NAS pas een paar maanden en toen stond DSM 5 er als standaard op.

@hieronder.... Natuurlijk, beetje verkeerd opgeschreven. Zie hier de reactie van iemand die een DS214play heeft gekocht (buurman) en daar direct DSM5 op heeft geïnstalleerd

http://gathering.tweakers...message/42666421#42666421

Hmm... laat maar, lees nu net dat het toch een 4.3 is die op de NAS van zijn buurman staat.

[Reactie gewijzigd door Ginz op 6 augustus 2014 17:34]

De NAS wordt naar mijn weten niet geleverd met voorgeinstalleerde DSM software.
Dat is inderdaad helemaal correct. Als je een nieuwe NAS koopt, zitten er niet eens HDDs in, dus waar kan het OS dan al "standaard" op geïnstalleerd worden.

En als hij een kant-en-klaar systeem van één of andere winkel gekocht heeft, tsjah ... wie weet hebben die er dan wel 4.3 op geinstalleerd, is besmet geraakt, daarna pas geupdate naar 5.0 in de winkel ... We zullen de ware toedracht van dit specifiek geval nooit weten.

Maar het stemt toch tot nadenken dat er maar 1 melding is van iemand met DSM5 die zogezegd "besmet" zou zijn.
Dan lees je niet goed. Hij had geen eerdere versie draaien maar meteen DSM 5.

Edit: user bleek zich vergist te hebben. hij draaide toch 4.3

[Reactie gewijzigd door Speedfightserv op 6 augustus 2014 14:39]

Misschien lees ik niet goed, of spreekt iemand misschien niet (helemaal) de waarheid. ;)

Synology zal toch niet zomaar liegen - die hebben meer te verliezen dan een onbekende tweaker.
En dus ook meer redenen om te liegen.
dus heb je de eerste build dsm 5.0, er zijn hier ook grote updates voor geweest (die is zo lek als een mandje), waaronder het heartbleed probleem.

http://www.synology.com/en-global/releaseNote/model/DS213

hier staan de release notes, als je ziet wat er aan security fixes (heartbleed/cross site scripting vulnerability enz) zijn geweest tussen een kale 5.0 dsm en build 4493 update 3 snap je wel dat je ook kwetsbaar bent.

niet updaten is vragen om digitaal gezeik ongeacht het platform.
Opmerkelijk hier is dat tweaker DaaNium een NAS voor zijn buurman beheert die vanaf installatie (met nieuwe schijven) DSM 5.0 draait en toch besmet is geraakt.
Ik lees in latere reacties dat tweaker DaaNium versie 4.3.3810 draaide volgens een mailwisseling. Nu ga ik niet met vingertje wijzen, maar wellicht dat we niet een enkel bericht uit het wild als regel moeten aangrijpen omdat het iets is dat we niet kunnen controleren en de melder natuurlijk baad erbij heeft de schuld van zich af te schuiven (NAS gekocht door buurman bij deze tweaker).

Ik ben allang blij dat mijn NAS niet toegankelijk is op het internet.
Ik begreep in de reacties van het synology topic dat er ook systemen met DSM5 waren gelockt. Dit bericht spreekt dat dan weer tegen.
Hun reactie hierop is dat die systemen al geïnfecteerd waren, en vervolgens ge-update naar DSM5.

Hier ook de ransomware gehad met een DSM versie 4.3-3827, die volgens Synology niet vatbaar is/was. Er zat niets anders op dan de 0.6BTC te betalen gezien de waarde van de bestanden. Na de betaling ging alles goed en zijn alle bestanden weer bereikbaar.

[Reactie gewijzigd door rdboer86 op 6 augustus 2014 12:13]

En daarmee praat je deze hele actie goed.

Natuurlijk kunnen je bestanden veel waard zijn voor jou maar door betaling motiveer je ze om dit vaker te doen.
En wat let ze om je bestanden gewoon nog een keer om zeep te helpen?
Het is een kwestie van tijd voordat ze weer een lek vinden.
Tijd voor een backup en de volgende keer gewoon het systeem opnieuw instellen en formateren.
Nee, hij heeft een afweging gemaakt, wat belangrijker is: geld of de data.

Daarnaast: software is niet geupdate en geen backup (één backup is geen backup) draaien is natuurlijk vragen om problemen.

Neemt niet weg dat het een kutstreek is, die ransomware
Bitcoins zijn per stuk te traceren, en het hele internet wordt afgeluisted.
Geld blijft waarschijnlijk weg, maar als je de codes aan het Cybercrime team meld, kunnen ze misschien de daders pakken?
Dit lijkt me een gevalletje waarbij de MegaUpload-methoden namelijk wel toepaselijk lijken, en het precedent is al gezet.
Bitcoins zijn per stuk te traceren
Als ze die bitcoins door een bitcoin diffuser halen dan is het vrij lastig om de hele handel te blijven volgen hoor.
Dat is een groot voor- en in dit soort gevallen nadeel van bitcoins.
http://gathering.tweakers...message/42660129#42660129

had vanaf scratch 5.0 draaien. Synology's worden geleverd zonder de firmware op de hardware.
Wat dus niet waar bleek te zijn.

http://gathering.tweakers...message/42671858#42671858

Ga je nu stoppen met paniek maken?
Klopt. Ga jij nu stoppen met zeuren?
Ik maak geen paniek, Ik ben van menig dat als hij zich niet vergist had je dit niet zomaar moet afwimpelen.

Synology kan nooit de genoeg resources hebben om alle Synology's in een halve dag te checken. Daarom vind ik dat je 1 melding niet zomaar moet afwimpelen.

En ieder mens kan zich vergissen.
Alles kan, want wat niet kan is nog nooit gebeurt...
Natuurlijk kan ieder mens zich vergissen, daar is ook niets ergs aan. Beter zo dan dat er toch een kwetsbaarheid was die uitgebuit kon worden. In het ergste geval hebben er diverse NAS'sen een dag of iets langer uitgestaan.

Je moet enkel goed opletten met hoe je dit oppakt, ik heb getracht het af te zwakken (wat mij door een aantal mensen en mods niet in dank is afgenomen) omdat er behalve 1 stellige post op GoT geen enkele aanwijzing was dat DSM 5 kwetsbaar zou zijn. Als mensen in paniek stekkers uit apparaten gaan trekken lijkt mij dat helemaal geen gewenste situatie, paniek is het laatste wat je kan gebruiken.

Maar goed, zand erover. Wilde het enkel hier ook even rechtzetten om paniek te voorkomen. Dat is gebeurd en laten we nu ons virtuele glas bier heffen :)
Off-topic
, want wat niet kan is nog nooit gebeurt...
Nice. Daniël Lohues :)
https://decryptcryptolocker.com/

Hier kun je een bestand van jezelf uploaden welke gencrypt is, je krijgt dan de private key terug om je bestanden te kunnen decrypten.


Edit: Dit werkt alleen met Cryptolocker encryptie, mijn excuus
SynoLocker is momenteel nog geen oplossing voor.

[Reactie gewijzigd door Passkes op 6 augustus 2014 13:18]

Nee dit werkt niet, dit is voor Cryptolocker niet voor Synolocker ;)
Zie ook: http://gathering.tweakers...message/42670688#42670688

[Reactie gewijzigd door luuj op 6 augustus 2014 12:28]

Is dit ook voor SynoLocker? Je verwijst nu specifiek naar Cryptolocker, wat ook een stukje ransomware was wat Windows PC's als target had...

http://www.zdnet.com/fire...er-ransomware-7000032372/
CryptoLocker is Windows-based malware that arrives on a system through means including phishing campaigns and watering hole attacks. The malware then aggressively infects the machine -- and in some cases, backups if mounted to such a system -- and encrypts the user's files. An onscreen timer then demands payment within 72 hours, typically around $300. If the victim pays up, they are sent a private key to unlock their files.
Werkt dat echt? Baggerencryptie is het dan!
Nee, de hackers hebben het bestand met encryptiecodes verplaatst en dit is per toeval ontdekt door Fox-it. De encryptie was dus helaas uitstekend. Maar fox-it heeft nu de codes en helpt iedereen hiermee.
Ja ze hebben de database met sleutels van de bende achter Synolocker CryptoLocker te pakken gekregen en zijn hierdoor in het bezit van alle private keys.

Edit:
Synolocker is dus nog niet gencrypt, verwarring met cryptolocker zoals Luuj hieronder ook al meld:

http://gathering.tweakers...message/42670688#42670688

Synology zelf raad aan zodra je het Synolocker scherm in beeld krijgt je NAS gelijk uit te schakelen en met hun contact op te nemen. Ze hebben een special team opgesteld om je verder te helpen.

[Reactie gewijzigd door Passkes op 6 augustus 2014 13:17]

Dit klopt voor Cryptolocker, niet voor Synolocker ;)
http://gathering.tweakers...message/42670688#42670688
Hun reactie hierop is dat die systemen al geïnfecteerd waren, en vervolgens ge-update naar DSM5.
Dat blijft een wat vreemd verhaal omdat DSM 5.0 toch alweer de nodige maanden uit is. Men zou dan heel recent die update moeten hebben geinstalleerd want de eerste meldingen over Synolocker dateren van afgelopen zaterdag.
[...]

Dat blijft een wat vreemd verhaal omdat DSM 5.0 toch alweer de nodige maanden uit is. Men zou dan heel recent die update moeten hebben geinstalleerd want de eerste meldingen over Synolocker dateren van afgelopen zaterdag.
Ik kan me dat best voorstellen.
Als je soms hoort hoe trots men is op de @uptime van hun systemen ....
Ik heb vorige zaterdag de update naar 5.0 gedaan.... juist op tijd dus ;)
In dat scenario kan ik me juist voorstellen dat je nog net besmet geraakt bent (toen je nog 4.0 of 4.3 draaide) en vervolgens, na installatie van 5.0 een systeem hebt wat ondanks de meest up-to-date versie van DSM toch de hack bevat. De uitleg van Synology wekt ook de indruk dat dat de manier is waarop 5.0-systemen geinfecteerd kunnen zijn.
Ik vraag me wel af hoe veilig je systeem nu nog is. Alhoewel nu unecrypted lijkt me toch nog steeds dat er vreemde software op (de achtergrond) actief is.

Pas maar op dat het niet volgende week weer encrypted is. Het lijkt me verstandig om een nieuwe install uit te voeren.
De schijven zijn na decryptie direct uit de NAS gehaald en ergens anders ondergebracht. Voorlopig wordt er even geen Synology op het internet aangesloten totdat het back-up plan opnieuw is bekeken en uitgewerkt.
Er zat niets anders op dan de 0.6BTC te betalen gezien de waarde van de bestanden. Na de betaling ging alles goed en zijn alle bestanden weer bereikbaar.
Jammer dat deze misdaad loont. :(

En nu? Toch maar niet meer belangrijke bestanden online zetten of offline back-up maken?
Jammer maar als bedrijf kan je niet even lekker gaan wachten op een fix die wellicht pas over weken (of nooit) komt. Uiteraard zal je als bedrijf beter om moeten gaan met back-ups en veiligheid, dit was dan ook een zeer wijze les. Er zat echt niks anders op.
Mag toch hopen dat je nu wel een echte backup hebt gemaakt en de nas naar de stort hebt gebracht.
Hier ook de ransomware gehad met een DSM versie 4.3-3827, die volgens Synology niet vatbaar is/was. Er zat niets anders op dan de 0.6BTC te betalen gezien de waarde van de bestanden. Na de betaling ging alles goed en zijn alle bestanden weer bereikbaar.
Mag ik zo flauw zijn en vragen waarom je geen backup hebt van je NAS?
Het is redelijk gratis om je NAS opnieuw te installeren en de data terug te zetten.
(ja ik heb een backup van mijn NAS)
Dat hebben/hadden we wel. Het was overigens niet mijn back-up setup, maar die van een kennis van mij en die hebben mij erbij gehaald toen het mis ging.

Terug naar de back-up (een NAS) die we hadden. die stond op een andere locatie en elke nacht werden de NAS-sen gesynchroniseerd met elkaar (ook genoeg op aan te merken, maar op zich geen heel verkeerde setup). Nu komt het wrange; dat was ook een Synology NAS en is op hetzelfde moment geïnfecteerd geraakt. De encryptie gebeurde op zondagochtend en toen we maandagochtend op het probleem stuitte was het te laat om iets te doen.
Er zijn situaties bekend waarbij iemand met DSM5 inderdaad een gelockt systeem heeft. De NAS was bij die situaties echter al besmet vóór er ge-update was naar DSM5 aldus synology.

Ik kan de bron die dit onderbouwt echter niet zo snel terug vinden.
In hun officiële statement staat als symptoom: "DSM 4.3-3810 or earlier is installed, but the system says the latest version is installed at Control Panel > DSM Update."
Ook voor DSM5 zijn er al verschillende updates beschikbaar.
Deze updates gaan met name over het dichten van veiligheidslekken.

Hier kun je de lijst van updates vinden (DS214 als voorbeeld genomen). Er zijn al 7 updates in de afgelopen 3 maanden geweest op de initiele 5.0 release.

[Reactie gewijzigd door Edsger op 6 augustus 2014 12:20]

Wie DiskStation Manager heeft bijgewerkt naar de nieuwste versie, loopt geen gevaar, belooft het bedrijf.
Een gevaarlijke uitspraak als dit daadwerkelijk de uitspraak is geweest van Synology. Beloven dat een dergelijke versie geen gevaar loopt zou ik mezelf van weerhouden. Genoeg slimme koppen die er verandering in kunnen brengen en dit mogelijk zelfs als uitnodiging zien om het toch te laten lukken om deze systemen kwetsbaar te maken.
Het is ook een vrije interpretatie van tweakers:

"At present, we have not observed this vulnerability in DSM 5.0."
dus daarmee een gevaarlijke uitspraak van Tweakers zelf. Eentje waarmee ze mensen op het verkeerde been kunnen zetten... en dit nieuwsbericht van tweakers incl ' belofte' wordt ook al hier en daar weer gequote...

Ik ken ook alleen de statement van Synology en daarin staat pertinent geen ' belofte' ... die doet alleen tweakers hier...

[Reactie gewijzigd door Prosperot op 6 augustus 2014 13:48]

Een gevaarlijke uitspraak als dit daadwerkelijk de uitspraak is geweest van Synology.
Uit het statement van Synology:
At present, we have not observed this vulnerability in DSM 5.0.
En:
(...) we highly recommend downloading and installing DSM 5.0, or any version below:
For DSM 4.3, please install DSM 4.3-3827 or later
For DSM 4.1 or DSM 4.2, please install DSM 4.2-3243 or later
For DSM 4.0, please install DSM 4.0-2259 or later
Ben benieuwd hoe mensen met oude modellen er dan bij zitten.
Ik heb zelf ook een 207+ staan:
Version : DSM 3.1-1638; Build Date : 2013-11-27
Volgens mij kan ik deze niet eens upgraden naar de 5 versie.

Ben ik nu veilig met de laatste versie of komt hier nog een update voor?
Of val ik niet in de doelgroep?

[Reactie gewijzigd door 238498 op 6 augustus 2014 12:41]

alles ouder dan 4.3 laatste build (incl. update)
alles ouder dan 5.0 build 4493 update 3

is kwetsbaar.
Dat is niet zo volgens Synology. Ook de 4.0 en 4.2 met laatste build/update zijn niet kwetsbaar voor dit probleem:
For DSM 4.3, please install DSM 4.3-3827 or later
For DSM 4.1 or DSM 4.2, please install DSM 4.2-3243 or later
For DSM 4.0, please install DSM 4.0-2259 or later
Voor zover ik weet zijn er nog geen berichten van 3.x versies die vatbaar zijn voor de gebruikte exploit. Updaten naar V4 of V5 zal echter met een 207+ niet gaan voor zover ik weet, de ondersteuning op deze modellen is vervallen bij de release van V4.
Dat klopt inderdaad. Dit is de laatst mogelijke versie voor de DS207+ (ik denk zelfs meerdere x07 machines).
DS107+ gaat inderdaad ook niet verder dan DSM3.1.
Deze gebruik ik alleen nog voor offsite backups van de meest kritische bestanden vanaf de hoofd-NAS. Verder staat deze qua firewall (voor de zekerheid) helemaal dicht.
Zie de reacties met de reactie via mail van Synology; 3.x zou niet kunnen worden getroffen. N.B. Ik heb zelf nog geen bericht gehad.
Dat probleem heb ik ook met mijn DS207+. Ik heb support eerder al een mail gestuurd met deze vraag. Als ik meer weet, zal ik het je laten weten.
TOP! Bedankt hiervoor!
Ik heb een reactie gehad:

Hi Vincent,

Thank you for contacting Synology support.

DSM with the following version will not be infected by SynoLocker:

DSM 5.0

DSM 4.3-3827 or later

DSM 4.2-3243 or later

DSM 4.0-2259 or later

DSM 3.x or earlier

And therefore your device is not infected!

For your information, affected users may encounter one of the following symptoms:

.When attempting to log in to DSM, a screen appears informing users that their data has been encrypted and a fee is required to unlock data.
.Abnormally high CPU usage or a running process called “synosync” (which can be checked at Main Menu > Resource Monitor).
.DSM 4.3-3810 or earlier; DSM 4.2-3236 or earlier; DSM 4.1-2851 or earlier; DSM 4.0-2257 or earlier is currently installed, but the system says no updates are available at Control Panel > DSM Update.

Hope this helps.

Best Regards,
Kirby Liu

Technical Support


Synology Great Knowledge Base || 更多的DSM應用教學
Convenient DSM Online Help || 方便的DSM線上說明
Volgens de mail die ik zojuist ontving van Synology is DSM 3.x niet kwetsbaar:
- DSM 3.x or earlier is not affected
Hoe zit het met de 3.1 DSM. Ik heb namelijk nog een DS207+. Is deze ook vatbaar?
Zie de reacties met de reactie via mail van Synology; 3.x zou niet kunnen worden getroffen.
N.B. Ik heb zelf nog geen bericht gehad.
Dat probleem heb ik ook met mijn DS207+. Ik heb support eerder al een mail gestuurd met deze vraag. Als ik meer weet, zal ik het je laten weten.
Dit is wat er in de officiële mail staat:
we strongly recommend downloading and installing DSM 5.0, or any version below::
  • DSM 4.3-3827 or later
  • DSM 4.2-3243 or later
  • DSM 4.0-2259 or later
  • DSM 3.x or earlier is not affected
DSM3.1 zou dus niet vatbaar moeten zijn.
Dear Synology users,

We would like to inform you that a ransomware called "SynoLocker" is currently affecting some Synology NAS users. This ransomware locks down affected servers, encrypts users’ files, and demands a fee to regain access to the encrypted files.
We have confirmed that the ransomware only affects Synology NAS servers running older versions of DiskStation Manager by exploiting a security vulnerability that was fixed and patched in December, 2013.

Affected users may encounter the following symptoms:

When attempting to log in to DSM, a screen appears informing users that data has been encrypted and a fee is required to unlock data.
Abnormally high CPU usage or a running process called “synosync” (which can be checked at Main Menu > Resource Monitor).
DSM 4.3-3810 or earlier; DSM 4.2-3236 or earlier; DSM 4.1-2851 or earlier; DSM 4.0-2257 or earlier is installed, but the system says no updates are available at Control Panel > DSM Update.
If you have encountered the above symptoms, please shutdown the system immediately and contact our technical support here: https://myds.synology.com/support/support_form.php

If you have not encountered the above symptoms, we strongly recommend downloading and installing DSM 5.0, or any version below:

DSM 4.3-3827 or later
DSM 4.2-3243 or later
DSM 4.0-2259 or later
DSM 3.x or earlier is not affected
You can manually download the latest version from our Download Center and install it at Control Panel > DSM Update > Manual DSM Update.
If you notice any strange behavior or suspect your Synology NAS server has been affected by the above issue, please contact us at security@synology.com.

We sincerely apologize for any problems or inconvenience this issue has caused our users. We’ll keep you updated with the latest information as we continue to address this issue.
Thank you for your continued patience and support.

Sincerely,
Synology Development Team
Top! Bedankt @JohanF, @Canule en @VinceLW
Ik heb een reactie gehad van Synology:

Hi Vincent,

Thank you for contacting Synology support.

DSM with the following version will not be infected by SynoLocker:

DSM 5.0

DSM 4.3-3827 or later

DSM 4.2-3243 or later

DSM 4.0-2259 or later

DSM 3.x or earlier

And therefore your device is not infected!

For your information, affected users may encounter one of the following symptoms:

.When attempting to log in to DSM, a screen appears informing users that their data has been encrypted and a fee is required to unlock data.
.Abnormally high CPU usage or a running process called “synosync” (which can be checked at Main Menu > Resource Monitor).
.DSM 4.3-3810 or earlier; DSM 4.2-3236 or earlier; DSM 4.1-2851 or earlier; DSM 4.0-2257 or earlier is currently installed, but the system says no updates are available at Control Panel > DSM Update.

Hope this helps.

Best Regards,
Kirby Liu

Technical Support


Synology Great Knowledge Base || 更多的DSM應用教學
Convenient DSM Online Help || 方便的DSM線上說明
http://www.bright.nl/onts...yptolocker-zijn-gegijzeld

Kijk eens hier:) Lijkt er op dat we de geinfecteerde bestanden kunnen decrypten. geluk bij een ongeluk?

[Reactie gewijzigd door M-slayer op 6 augustus 2014 12:17]

Synolocker is iets anders als cryptolocker ;)

http://gathering.tweakers...message/42670688#42670688

[Reactie gewijzigd door luuj op 6 augustus 2014 12:19]

Praise the lord! Goed bericht van synology. niets te vrezen dus als je zooi up-to-date is. Ik ga er wel vanuit dat ze ook met een oplossing komen voor de geraakte systemen en de bestanden gaan ontsleutelen. Daarnaast vraag ik me af waarom het niet mogelijk is om de geldstroom te volgen en zo de criminelen vrij snel op te pakken. Als iemand die 0,25 bitcoins betaald dan is dat toch te achtervolgen of niet?
Ik denk niet dat Synology jou gaat helpen met versleutelde bestanden. Die mogelijkheid hebben ze zelf namelijk ook niet.

Maar hoe dan ook mooi nieuws dat het up-to-date houden van je hardware dus z'n vruchten afwerpt nu! :)
Ze hebben een 'dedicated team' voor hulp als je NAS geïnfecteerd is. "If users notice any strange behaviour or suspect their Synology NAS server has been affected by the above issue, we encourage them to contact us at security@synology.com where a dedicated team will look into their case."
bron
dat is meer om te kunnen uitzoeken hoe de besmetting heeft plaatsgevonden e.d.

Ik denk niet dat Synology ergens een megafarm heeft staan om de encryptie brute-force te gaan kraken.
Ik heb zelf geen Synology draaien. Maar van wat ik las en begreep is dat de bestanden niet daadwerkelijk versleuteld zijn, maar alleen de management pagina geraakt is. Dus de bestanden zijn nog gewoon benaderbaar en dan zou je ze gewoon kunnen overzetten via een richcopy/robocopy naar en andere netwerklocatie.

Als je gewoon een willekeurige directory pakt en deze overhevelt, kan je zo zien of er iets van encryptie op je bestanden zit.
Nee hoor, dan heb je het verkeerd begrepen. De bestanden worden echt versleuteld.
in sommige gevallen bleek het encryptieproces nog te lopen en was het mogelijk om bestanden die niet versleuteld waren te kopieeren.

Of dit encryptieproces nog lopende is op het moment dat de loginpagina vervangen is, of dat alles al versleuteld is zou ik niet durven zeggen.
Nee bitcoins zijn per definitie ontraceerbaar naar een fysieke persoon, dat is een van de redenen dat overheden er zo spastisch over doen. En nee, Synology kan niet zomaar even de bestanden ontsleutelen, dat is het hele punt van asymmetrische encryptie - daar is een private key voor nodig.
Dat noem jij spastisch?
Terwijl nu gewoon al een paar keer is gebleken dat er harde criminaliteit gepaard gaat met het gebruik van BitCoins....
Het is ook al een paar keer gebleken dat er harde criminaliteit gepaard gaat met het gebruik van internet. Dat gaan we ook niet zomaar verbieden.
Terwijl nu gewoon al een paar keer eeuwenlang is gebleken dat er harde criminaliteit gepaard gaat met het gebruik van BitCoinsgeld
Dat noem jij spastisch?
Terwijl nu gewoon al een paar keer is gebleken dat er harde criminaliteit gepaard gaat met het gebruik van BitCoins....
Wat 100% irrelevant is. Er is ook al veeeeeeeeeeeeeel meer dan een paar keer gebleken dat er harde criminaliteit gepaard gaat met het gebruik van Dollars. Of Euro's. Of ...

Er is ook gebleken dat criminelen gebruikmaken van de snelweg. Oei, snelweg maar sluiten zeker? Meteen alle snelweggebruikers afzetten als criminelen? Dat is jouw argument, en je snapt dat het een waardeloos argument is.
Nee bitcoins zijn per definitie ontraceerbaar naar een fysieke persoon
Dat is niet correct, zeker niet "per definitie". Bitcoins zijn te traceren tot de IP-addressen die toegang hebben tot, en transacties doen vanaf de addresses/wallets. Dat betekent dat als jij vanaf jouw thuiscomputer transacties doet met je Bitcoin address, je in principe gewoon traceerbaar bent gezien jouw gegevens bij je ISP liggen opgeslagen.

Bitcoins zijn pas vrijwel ontraceerbaar tot een persoon als je daar ook de juiste voorzorgsmaatregelen voor neemt, zoals een aantal hops tussen nodes op een peer-to-peer netwerk zoals Tor. VPN erbij for good measure.

Echter, zelfs dan is het nog opletten dat je niet per ongeluk informatie over jezelf lekt bij gebruik van het Bitcoin address, als je bijvoorbeeld tijdens een sessie op hetzelfde IP ook inlogt op Facebook of iets anders waar jouw identiteit al aan verbonden is. Hieronder vallen websites die je op je thuiscomputer bezoekt en die daarmee ongetwijfeld al in een database opgeslagen zijn. Ook simpelweg het gebruik van dezelfde browser met dezelfde plugins op een computer met dezelfde hardware is al genoeg om een fingerprint op te stellen, en eenmaal die gekoppeld is aan je identiteit, heb je geen andere keuze dan een browser te gebruiken die speciaal ontwikkeld is om te blenden met de crowd, zoals de Tor-Browser.

Daarnaast is er het zeer belangrijke probleem met Bitcoin in tegenstelling tot enkele andere cryptocurrencies, dat het per definitie JUIST traceerbaar is: Alle transacties zijn te herleiden uit de Blockchain. Alle transacties zijn openbaar. Elke Bitcoin kan van creatie tot laatste gebruiker getraceerd worden. Enkele andere cryptocurrencies hebben proxy-achtige algorithmes die ervoor zorgen dat transacties van een aantal addressen gepoold worden, en bitcoins uit die pool dan willekeurig verdeeld worden over de target-addressen. Met enkele nodes ertussen heb je al een exponentiele toename van moeilijkheid van traceerbaarheid.

Tl;dr: Bitcoin is zeer goed traceerbaar, zeker voor gebruikers die niet extreme moeite nemen om hun sporen te verbergen.

Edit: Moet even duidelijk vermelden dat het traceren van IP-addressen gebeurd buiten de blockchain om. Dat is gewoon pure spionage door trackers, ISPs, etcetera. Als eenmaal een transactie vanaf een bepaald bitcoin address wordt waargenomen vanaf jouw IP address, door bijvoorbeeld de ISP, dan is het dus te traceren door de relevante agentschappen. Niet door gebruikers van BitCoin zelf aangezien deze info niet in de blockchain komt.

[Reactie gewijzigd door Sacron op 6 augustus 2014 14:22]

Bitcoins zijn te traceren tot de IP-addressen die toegang hebben tot, en transacties doen vanaf de addresses/wallets.
Bron? Uiteraard kunnen alle transacties via de blockchain worden gevolgd, en als je een online wallet gebruikt welke IP-adressen opslaat en doorspeelt aan de "instanties" dan ben je vast en zeker te achterhalen, maar IP-adressen worden niet opgeslagen in de blockchain zelf, transacties zijn dus niet zo simpel te herleiden naar een persoon.
Hij lijkt het te hebben over betalingen doen via een browser. Bitcoin is voor zover ik het weet per definitie ontraceerbaar zoals jij zegt. Het is al een P2P netwerk en IP's van transacties worden niet opgeslagen. De betaling wordt later pas verwerkt door 1 van de mining pools en die houden zich ook niet bezig met traceren.
Zoals Foxl zegt is je IP-adres geen default onderdeel van de blockchain, en ik zei heel specifiek "tot een fysieke persoon te herleiden". Zelfs een IP-adres is op z'n best een fysiek huisadres, maar dan nog hoef je alleen maar even je Wifi open te zetten als de politie op de deurmat staat om een redelijk valide "wasn't me" te kunnen roepen. Installeer Sub7 op je eigen computer en je maakt het ze nog een stuk moeilijker om hard te maken dat jij het was.
Dit is nou exact de reden waarom ik mijn NAS niet als veredelde cloud-opslag gebruik. Better safe than sorry. En alles up-to-date houden uiteraard.
Helemaal correct. Hoewel het ook niet 100% veilig is, is m'n DS1512+ thuis énkel via PPTP VPN te bereiken, de management webinterface op TCP5000/5001 staat niet naar het internet open.
Helemaal correct. Hoewel het ook niet 100% veilig is, is m'n DS1512+ thuis énkel via PPTP VPN te bereiken, de management webinterface op TCP5000/5001 staat niet naar het internet open.
PPTP is sowieso niet veilig, geen certificaten, MIM attack is zo opgezet en je user id en password worden simpel buitgemaakt.
Yep, ik ga mijn persoonlijke backup niet (direct aanspreekbaar) aan het internet hangen, dat is nou precies waarom ik een NAS thuis heb staan.

[Reactie gewijzigd door Tijger op 6 augustus 2014 12:33]

Toch vertrouw ik de boel niet, en staat deze nog steeds uit bij mij.
Er zijn genoeg manieren om toch bij de NAS te komen.
Bijvoorbeeld een virus dat zich instaleerd via jou computer.
Of webserver die via jou computer poort-forwarding instelt in jou router (hack-methode te vinden op youtube) *Nogmaals de herhalling: NAT is geen firewall.

Ik begin werkelijk paranoide te worden, want alles is eigenlijk mogelijk. Wifi, zelfs WPA2 is hackbaar! Creativelingen komen eerst binnen via jou IP, en daarna achterhalen ze de Wifi-parameters, vanaf jou router, of vanaf jou PC.

Iedereen zegt het wel, niks is gegarandeerd veilig, of 100% waterdicht (zie de heartbleed bug)
Toch denken we niet aan de gevolgen, maar het is normaal om paranoide worden, ook al "heb je niks te verbergen".
Daarom heb ik ook een offline kopie van mijn persoonlijke gegevens op een USB schijf die ik iedere maand synchroniseer. Daarnaast heb ik ook een kopie op mijn computer. Dat is nog niet 100% failsafe, maar dit is voor mij is het een betaalbare en werkbare methode.
Zodra je bestanden al encrypted zijn (zondr dat je dat weet) kopieer je een encrypted file naar je USB drive. Die krijg je dan ook echt niet meer open. Zet je weer aan het denken en begrijp je weer beter waarom enterprise systemen zo'n duur backup systeem er op nahouden...
Maar wie heeft er nu de tijd, geld en expertise in huis om een foolproof backup systeem te maken en onderhouden? Die tijd en energie weegt wellicht niet op tegen de vergoeding die je moet betalen om de boel weer te laten ontgrendelen.

260EUR blijft veel geld (hopen dat de bitcoin koers niet stijgt :P ), maar is een schijntje als je je foto-collectie zou verliezen.

Mijn motto blijft beter voorkomen dan genezen. Dus je NAS niet gebruiken als veredelde cloud-opslag. Zo min mogelijk webservices op je eigen computer(s) draaien, en gebruik maken van hotmail/outlook/gmail en je hosting buiten de deur stallen. Kortom zo min mogelijk de aandacht trekken van personen met de verkeerde bedoelingen. Als ze niet weten dat je bestaat, komen ze ook niet aankloppen.
Je hebt helemaal gelijk.

Wie het kan betalen: Grote bedrijven..... Wij thuis niet, maar het verklaard de "enterprise" prijzen. Het start tarief voor enterprise storage ligt al op 1000 euro per TB tov <50 euro consumer pricing... krijg je er wel een stuk zekerheid voor terug ...
Of, je stelt de firewall dusdanig in dat alleen vanaf 1 ip (bv 192.168.1.254) volledige toegang tot de nas hebt en de rest alleen tot het nodige om te kunnen werken ermee.
En zorg dat je DHCP server dat "beheerders ip" nooit uitgeeft.
Mocht je dan iets moeten aanpassen op de nas, dan moet je handmatig eerst het IP van je PC aanpassen om erbij te kunnen komen.
Zo kunnen virussen oid ook weinig uithalen
Als tweaker zou ik het waarschijnlijk wel proberen, alleen heb ik geen NAS-speelgoed.
Maar een database-server, VM's over internet hosten of persoonlijke online mediabibliotheek. Er zijn een hoop leuke dingen mee te doen.
De echte backups, dus alles wat niet downloadbaar is gaan hier naar een hele mooie Compaq Presario twv 20 euro die alleen aan staat als de backups gemaakt worden of nodig zijn.
En die Compaq ontkoppel je volledig van het lichtnet(incl. ⏚) met een daarvoor geschikte schakelaar, of vertrouw je volledig op een overspanningsbeveiliging op bijv. een verlengsnoer?
Nou. Dan zal ik hem vanmiddag maar weer eens aanzetten.... en mijn poortconfiguratie eens herzien.
Stel dan ook gelijk de firewall in met GEO locks, zodat bijvoorbeeld, Russen, Chinezen, Koreaantjes, wat Afrikaanse gebieden en ander tuig dat graag hacked wat lastiger bij je Syno kan.

Of je stelt hem bijvoorbeeld alleen open voor jouw IP range en Nederland.
Natuurlijk is dat met Proxy's te omzeilen, maar het is in ieder geval weer een extra drempel.

[Reactie gewijzigd door p0pster op 6 augustus 2014 12:24]

Mijn persoonlijke oplossing is alleen vpn access.
totdat er een bug in de VPN server blijkt te zitten die aanvallers toegang tot je systeem geeft.
Dan laat je hemt toch connecten naar een externe VPN server?
Dan blijft (indien)alleen het cliënt gedeelte nog over. :+
http://www.synology.com/en-uk/support/tutorials/523
*Bij een Eweka Usenet account krijg je(kreeg ik) nu één VPN account van IPVanish gratis voor zolang je daar zit(als zijne reclame/jubileum stunt).

[Reactie gewijzigd door Canule op 6 augustus 2014 15:37]

Zouden de stoute hackers deze misbruiken? Vind er niets van op de nieuwssites....

http://www.kb.cert.org/vuls/id/534284

De exploit die hierboven beschreven wordt is in ieder geval aanwezig in "niet-de-laatste-versie" van 4.0, 4.1 en 4.3.
Ik vermoed meer deze:

http://wrgms.com/synologys-secret-telnet-password/

En ja, de huidige source code van synology heeft deze backdoor nog:

https://gist.github.com/guiambros/4242127
Maar dan zouden er ook DSM5 systemen geïnfecteerd moeten zijn?
http://gathering.tweakers...message/42660129#42660129

Edit: user bleek zich vergist te hebben. hij draaide toch 4.3

[Reactie gewijzigd door Speedfightserv op 6 augustus 2014 15:00]

Denk je niet dat er veel en veel meer gevallen zouden moeten zijn, dan deze ene als het die backdoor was die phoenix noemt?

Maar meer nog: http://gathering.tweakers...message/42671692#42671692

[Reactie gewijzigd door tinzarian op 6 augustus 2014 14:18]

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True