Ökade utpressningsattacker mot NAS-enheter

Skrivet av Freezer64Pro:

@nikka:
Hur bör man tänka med ogiltiga inloggningsförsök, för att spärra dessa försök så snabbt som möjligt. Har idag 5 försök inom 5 minuter samt att IP inte tas bort.
Avser sätta upp FTP till Nasen (Synology), men kan jag då på något sätt blockera access från WAN. Ska enbart användas lokalt.

Tacksam för svar
//Freezer

Så länge som du har starka lösenord (läs ”långa lösenord”) och har aktiverat tvåstegsverifiering är botarnas misslyckade inloggningsförsök inget du behöver oroa dig över. De kommer bara hinna testa ett fåtal lösenord innan de blir utelåsta. Jag låser IP-adresser när de har testat tio felaktiga lösenord inom 60 minuter och jag plockar bort blockeringen efter 30 dagar (på grund av att de blockerade IP-adresserna potentiellt sett skulle kunna tilldelas nya abonnenter).

Hur pass hårt du kan sätta IP-blockeringen beror på vad du använder din Nas till och vad hur många utomstående som ansluter till den över internet. Så länge du har funktionen aktiv anser jag dock att du har gjort tillräckligt. Med starka lösenord och tvåstegsverifiering finns det ingen chans att angripare kan komma in genom att gissa lösenorden (forcera gärna starka lösenord genom Nas-enhetens användarinställningar).

Om jag förstod frågan om FTP rätt är tanken att du ska använda FTP för åtkomst över internet och att Nas-enheten annars endast ska användas lokalt. Mitt svar utgår från detta. Först och främst måste jag avråda från att använda FTP. Använd i stället FTPS (SSH), SFTP eller Webdav (TLS) för att få en säker anslutning. Du hittar tillhörande standardportar på https://www.synology.com/en-us/knowledgebase/DSM/tutorial/Net.... Öppna endast portarna som är nödvändiga att öppna, till exempel 5006 för för Webdav (TLS), och byt gärna från standardportarna. Du kan mappa om portarna i din routers brandväggskonfiguration så att du använder standardportar på insidan och egna portnummer på utsidan.

Skrivet av reverend benny:

VARFÖR ska allt alltid ha möjlighet att nås remote eller kunna snacka ut på internet?
Det är nog oerhört få som faktiskt har ett behov för det och OM man nu behöver det så skadar det inte att läsa på lite om hur man sätter upp saker säkert.

För att en modern NAS generellt agerar blandad server och inte bara lagring. Jag kör FPT och har haft VPN och webserver igång på NAS. Tittade även ett tag på att låta den vara mailserver och hade jag fått det att fungera hade en av mina NASar hostat en Discordbot. Sen har många egna "molnlagringslösningar" med appar som ger dig liknande funktionalitet som Dropbox fast du hostar själv. Allt detta kräver extern tillgång till din NAS och den funktionen är en rätt stor selling point for till exempel Western Digitals små NASar.

Jag har två NASar, en gammal QNAP som bara backupar min stationära dator och den behöver naturligtvis ingen direkt koppling till internet. Innan var den FTP och lite annat men har köpt en HP Microserver som jag kör Xpenology på som kör allt möjligt annat som behöver tillgång till internet.

Edit: stavning

Senast redigerat 2019-08-05 20:51

Hmm, kör

DSM 6.0.2-8451 Update 11

på min Synology... aja

Skrivet av sickhouse:

Hmm, kör

DSM 6.0.2-8451 Update 11

på min Synology... aja

Intressant. Finns det ingen nyare version till den? Synology har till och med släppt uppdateringar till min Nas från 2011.

Skrivet av hakd:

Synology har det på per default

Skrivet av nikka:

Så länge som du har starka lösenord (läs ”långa lösenord”) och har aktiverat tvåstegsverifiering är botarnas misslyckade inloggningsförsök inget du behöver oroa dig över. De kommer bara hinna testa ett fåtal lösenord innan de blir utelåsta. Jag låser IP-adresser när de har testat tio felaktiga lösenord inom 60 minuter och jag plockar bort blockeringen efter 30 dagar (på grund av att de blockerade IP-adresserna potentiellt sett skulle kunna tilldelas nya abonnenter).

Hur pass hårt du kan sätta IP-blockeringen beror på vad du använder din Nas till och vad hur många utomstående som ansluter till den över internet. Så länge du har funktionen aktiv anser jag dock att du har gjort tillräckligt. Med starka lösenord och tvåstegsverifiering finns det ingen chans att angripare kan komma in genom att gissa lösenorden (forcera gärna starka lösenord genom Nas-enhetens användarinställningar).

Om jag förstod frågan om FTP rätt är tanken att du ska använda FTP för åtkomst över internet och att Nas-enheten annars endast ska användas lokalt. Mitt svar utgår från detta. Först och främst måste jag avråda från att använda FTP. Använd i stället FTPS (SSH), SFTP eller Webdav (TLS) för att få en säker anslutning. Du hittar tillhörande standardportar på https://www.synology.com/en-us/knowledgebase/DSM/tutorial/Net.... Öppna endast portarna som är nödvändiga att öppna, till exempel 5006 för för Webdav (TLS), och byt gärna från standardportarna. Du kan mappa om portarna i din routers brandväggskonfiguration så att du använder standardportar på insidan och egna portnummer på utsidan.

Tack för svar.
Har långt krångligt lösenord, men inte tvåfaktor ännu.
Min avsikt med att använda ftp (sftp) är att få nasen att sluta vakna upp bara för att jag använder windows utforskare, då jag har kopplat en enhetsbokstav dit. Används som jag skrev enbart lokalt och då som en slags backup. Det är därför jag gör vad jag kan för att hålla obehöriga borta. Insett att med enhetsbokstav kan det om datorn infekteras också drabba nasen. Om ett program krävs för access, så är den möjligheten borta. Vill därför se till att ingen kommer in från internet, inte ens jag själv. Enbart via det lokala nätverket.

Det att jag för närvarande använder ftp istället för sftp beror på att jag inte har listat ut hur jag gör med certifikaten. Synologys anvisning var en aning oklar när det var dags för certifikaten. Håller på att flytta all data så att jag kan sätta upp sftp med ett helt rent system utan att behöva oroa mig över dataförlust.

//Freezer

Kan vara bra, framförallt i köpe-NAS, att gå in under /etc/password och /etc/shadow och se att det inte finns 'användare' som man inte vet vad de är för (tex. väg in från tillverkaren för support utifrån)

likaså vilka 'servicar' man har igång och absolut inte har en TFTP-daemon igång

Många 1-disk nas/mediacenter i lågprisklassen från tex. våra hårddisktillverkaren har rent pinsamma svagheter som att ha TFTP igång och/eller telenet- daemon snurrande med mer eller mindre välkänd (fabriks) inloggningsnamn (ibland kan det tom vara hårdkodat i någon binär) - TFTP har inte någon användarhantering och därmed inte rättighetshantering och har roträttigheter ut på filsystemet - och den som kan sina FTP-kommandon i textform har fri tillgång till hela disken i den mediacentern/NAS:en den vägen.

I passord och shadow-filen under /etc brukar man också hitta 'användare' som tillverkaren ofta har som supportingång med passord som inom en tid finns 'ute' då det i regel är samma i hela serien av burkar och någon köpare har crackat shadow-filen och fått fram passwordet.

Många äldre köpe-NAS har också i /etc/shadow förkärlek att använda md5 ($1$ efter användarnamnet) som hash-algoritm och inte som dagens SHA256 och SHA512 och motsvarighet ($5$ eller $6$ efter användarnamnet)

(formatet på shadowfilen kan läsas i https://www.cyberciti.biz/faq/understanding-etcshadow-file/ )

Det betyder att om det görs inbrott med TFTP eller via telnet med tillverkarens inloggning och hämta ut shadow-filen så kan den crackas relativt enkelt om det är en md5-hash och man får ut passord i klarspråk som kanske också fungerar på andra håll.

Med andra ord det är lätt att gnälla på olika Site som fått sina databaser och passords-filer rånade och inte allt för sällan är just med md5-hash (och allt för ofta utan salt eller lika salt för alla användare) och sedan räcker det att titta på sin egna köpe-NAS för att det kan vara precis lika illa där med inbrottsväg via TFTP (som många inte ens vet existerar och än mindre att de är påslagna) och i shadow med vekt md5-hashade passord....

md5 är för vekt idag för att stå emot någon längre tid när man har cracker byggda kring grafikkort på samma sätt som BTC-miners.

Vet inte om det tagits upp. Men hur står sig QNAP generellt när det gäller säkerhet skulle ni säga?

Jag upptäckte också att det kan vara skillnad mellan att sätta upp användare via GUI i en Köpe-NAS och den enklare md5-baserade hashningen av användarens passord görs - medans använder man adduser i en ssh-promt så får man den bättre sha512-hashade passordet... skumt...

Normalt skall det styras under /etc/pam.d/ (främst filen 'common-password') och en massa script anropa varandra för att mata olika hjälp-program med rätt parametrar - men det känns som att i GUI via webbrowser så löser man det på annan väg och glömmer bort att få med optionen med SHA512 - eller att det är avsiktligt missat...

med andra ord det kan finnas skäl att kolla i /etc/shadow och är passordet för användaren hashat med $1$ (= md5) så finns det skäl att fråga varför det är så??

Skrivet av nikka:

Så länge som du har starka lösenord (läs ”långa lösenord”) och har aktiverat tvåstegsverifiering är botarnas misslyckade inloggningsförsök inget du behöver oroa dig över. De kommer bara hinna testa ett fåtal lösenord innan de blir utelåsta. Jag låser IP-adresser när de har testat tio felaktiga lösenord inom 60 minuter och jag plockar bort blockeringen efter 30 dagar (på grund av att de blockerade IP-adresserna potentiellt sett skulle kunna tilldelas nya abonnenter).

Hur pass hårt du kan sätta IP-blockeringen beror på vad du använder din Nas till och vad hur många utomstående som ansluter till den över internet. Så länge du har funktionen aktiv anser jag dock att du har gjort tillräckligt. Med starka lösenord och tvåstegsverifiering finns det ingen chans att angripare kan komma in genom att gissa lösenorden (forcera gärna starka lösenord genom Nas-enhetens användarinställningar).

Jag har ip-blockeringen i min router, så om 8 misslyckade försök inom 2 dygn så blir den ip:n blockad i 2 dygn. Just nu är 89 ip-adresser blockerade men över 150 som ligger under bevakning ifall det kommer fler försök.

Det jag ser om jag tittar på statistiken är att många gör numera bara något/några enstaka inloggningsförsök per dag för att undgå trigga blockeringen.

Nedan visas lite statistik av misslyckade ssh-inloggningar per dag för de senaste 6 åren i lite olika skalor:

0-55000:

0-4000:

0-1100:

Dold text

Vid dag 560 har jag insett problemet och installerat blockeringen.
Vid ungefär dag 720 ser det ut som att tillräckligt många installerat blockerare så man byter strategi.
Nånstans mellan dag 1700 och 2000 körs i medel bara ett par försök per dag och ip-adress. Sen kommer nästa våg av inloggningsförsök.
I dag är det dag 2240 i loggen.

Kan rekommendera att man byter standardportarna för er som kör Synology NAS. Vips blev jag av med samtliga intrångsförsök.

Själv kör jaf med en Qnap TS-451A, och på denna kan man själv skriva in vilka IP-adresser som skall godkännas, och den blockerar alla andra adresser

Denna inställning kör jag med nu, då jag fick så många IP-adresser som blockerades automatiskt... Jag har bara ett tre externa IP-addresser i min lista (till min sommarstuga, och till mina föräldrar) + alla interna adresser (192.168.***.***)

Första uppdraget jag fick på mitt nya jobb:
En kund hade en gammal skräp nas från zyxel tror jag det var som dom hade satt upp med dyndns, ingen ip block efter x antal failed attempts, inte uppdaterat mjukvaran sen 2011...
Recipe for disaster, allt var krypterat. Ingen backup. GG

Skrivet av chicken:

Jag har använder min NAS för backup så jag har den hos en vän och han har sin NAS hos mej, detta för att ge en backup vid en brand/inbrott.
Därför behöver jag ha en NAS som är kopplad mot internet.

Smart, gjorde likadant förr och detta scenario är ju ett där man verkligen kan låsa ner sin NAS och se till att viss trafik bara får gå under viss tid och till en specifik host. Trafiken lär säkerligen vara krypterad och har man satt upp detta så har man säkerligen en bra koll på IT-säkerhet.
Har man det så är det en betydligt mindre chans för att bli utsatt för en attack.

Skrivet av Zotamedu:

För att en modern NAS generellt agerar blandad server och inte bara lagring. Jag kör FPT och har haft VPN och webserver igång på NAS. Tittade även ett tag på att låta den vara mailserver och hade jag fått det att fungera hade en av mina NASar hostat en Discordbot. Sen har många egna "molnlagringslösningar" med appar som ger dig liknande funktionalitet som Dropbox fast du hostar själv. Allt detta kräver extern tillgång till din NAS och den funktionen är en rätt stor selling point for till exempel Western Digitals små NASar.

Jag har två NASar, en gammal QNAP som bara backupar min stationära dator och den behöver naturligtvis ingen direkt koppling till internet. Innan var den FTP och lite annat men har köpt en HP Microserver som jag kör Xpenology på som kör allt möjligt annat som behöver tillgång till internet.

Edit: stavning

Kör du alla dessa funktioner så tänker jag att du lagt ner en del tid att läsa på om IT-säkerhet och att säkra upp saker.
Det stora problemet tror jag är SMB och privatpersoner utan kunskap som gör en "set and forget" och tror att allt kommer rulla på.

Skrivet av reverend benny:

Kör du alla dessa funktioner så tänker jag att du lagt ner en del tid att läsa på om IT-säkerhet och att säkra upp saker.
Det stora problemet tror jag är SMB och privatpersoner utan kunskap som gör en "set and forget" och tror att allt kommer rulla på.

Nja dagens NASar är generellt så lätta att konfigurera att folk som inte har koll kan köra dem. Western Digitals "moln" lösning var till exempel extremt lätt att få igång så det klarar vem som helst.

Sen finns det så många guider att jag tror att nästan vem som helst kan lyckas sätta upp en FTP-server idag. I NASen är det generellt bara att bocka i en ruta så har man en FTP igång. Det svåra brukar vara att lösa port forwarding i routern för de kan vara helt katastrofalt värdelösa att arbeta med.

Skrivet av oRBIT2002:

Kan rekommendera att man byter standardportarna för er som kör Synology NAS. Vips blev jag av med samtliga intrångsförsök.

Det gör dock inte NAS:en säkrare än om man kör med standardportar, det gör den bara lite svårare att hitta för de som automatiskt scannar Internet.

Även om du kör med andra portar så bör du fortfarande säkra upp NAS:en på exakt samma sätt.

Ursäkta min okunskap, men alla inloggningsförsök borde ses i loggen va? En av min synology nas har haft en upptime på 3 år och inte ett enda försök, ibland snurrar den igång helt random i alla fall, jäkligt mysko.

Skrivet av Zotamedu:

För att en modern NAS generellt agerar blandad server och inte bara lagring. Jag kör FPT och har haft VPN och webserver igång på NAS. Tittade även ett tag på att låta den vara mailserver och hade jag fått det att fungera hade en av mina NASar hostat en Discordbot. Sen har många egna "molnlagringslösningar" med appar som ger dig liknande funktionalitet som Dropbox fast du hostar själv. Allt detta kräver extern tillgång till din NAS och den funktionen är en rätt stor selling point for till exempel Western Digitals små NASar.

Jag har två NASar, en gammal QNAP som bara backupar min stationära dator och den behöver naturligtvis ingen direkt koppling till internet. Innan var den FTP och lite annat men har köpt en HP Microserver som jag kör Xpenology på som kör allt möjligt annat som behöver tillgång till internet.

Edit: stavning

Du behöver inte exponera din NAS externt ändå, så det är ingen ursäkt.

Du väljer helt enkelt vad du tycker är okej att komma åt utifrån och där skulle jag inte rekommendera att du tillåter något utöver det du faktiskt behöver åtkomst till, vilket i ditt fall låter som en webbserver, VPN och discord-bot - inte ditt admin-gränssnitt.

Nu har jag gjort klart guiden som i tio steg går igenom hur en Nas bör konfigureras ur säkerhetsperspektiv. Guiden utgår från Synology DSM men råden är allmängiltiga. Se https://nikka.systems/190806.

Text och bild är Creative Commons (CC-BY 4.0) med undantag för bildbanksbilden längst upp.

Lite goda nyheter för utpressningstrojansdrabbade Qnap-användare. Utpressningstrojanen eCh0raix hade fram till den 17:e juli en bugg som går att utnyttja för att dekryptera sina utpressningskrypterade filer. Läs mer hos Bleeping Computer.

https://www.bleepingcomputer.com/ransomware/decryptor/ech0rai...

Skrivet av sebbeh:

Du behöver inte exponera din NAS externt ändå, så det är ingen ursäkt.

Du väljer helt enkelt vad du tycker är okej att komma åt utifrån och där skulle jag inte rekommendera att du tillåter något utöver det du faktiskt behöver åtkomst till, vilket i ditt fall låter som en webbserver, VPN och discord-bot - inte ditt admin-gränssnitt.

Fast om jag ska ha en FTP-server för att komma åt filer externt måste jag ju per definition exponera min NAS mot internet. En hackare behöver inte tillgång till administrationsgränsittet för att göra skada. Titta på lite DEFCON-presentationer så ska du se hur lite det behövs för att ta över enheter. En personlig favorit är de som hackade en skrivare, och alla datorer i samma nätverk som den, genom att skicka ett fax.

Skrivet av Zotamedu:

Nja dagens NASar är generellt så lätta att konfigurera att folk som inte har koll kan köra dem. Western Digitals "moln" lösning var till exempel extremt lätt att få igång så det klarar vem som helst.

Sen finns det så många guider att jag tror att nästan vem som helst kan lyckas sätta upp en FTP-server idag. I NASen är det generellt bara att bocka i en ruta så har man en FTP igång. Det svåra brukar vara att lösa port forwarding i routern för de kan vara helt katastrofalt värdelösa att arbeta med.

Jag menar inte svårighetsgrad att få igång saker, jag menar mer förståelse vad det betyder och har för påverkan om man just börjar använda alla dessa funktioner.
Om man nu bockar i FTP så bör man ju ha lite koll på hur FTP fungerar och hur säkert (eller osäkert) det är och om det då är en bra funktion att använda.

Sen handlar det även om att hålla systemet uppdatera, tror ingen glömmer Synologys Synolocker som hände för rätt många år sedan och hur ont det gjorde för många.
https://www.extremetech.com/extreme/187518-synology-nas-devic...

Skrivet av blue eyed devil:

Ursäkta min okunskap, men alla inloggningsförsök borde ses i loggen va? En av min synology nas har haft en upptime på 3 år och inte ett enda försök, ibland snurrar den igång helt random i alla fall, jäkligt mysko.

Om du slagit på funktionen att det ska loggas så ska det loggas, det bör även stå där varför den startar igång helt random.
Har du uppdaterat din synology under dessa 3 år?

Skrivet av Zotamedu:

Fast om jag ska ha en FTP-server för att komma åt filer externt måste jag ju per definition exponera min NAS mot internet. En hackare behöver inte tillgång till administrationsgränsittet för att göra skada. Titta på lite DEFCON-presentationer så ska du se hur lite det behövs för att ta över enheter. En personlig favorit är de som hackade en skrivare, och alla datorer i samma nätverk som den, genom att skicka ett fax.

1. Om du inte vet riskerna med FTP så använd inte FTP.

https://techworld.idg.se/2.2524/1.639070/varfor-alskar-natver...

Skrivet av reverend benny:

Jag menar inte svårighetsgrad att få igång saker, jag menar mer förståelse vad det betyder och har för påverkan om man just börjar använda alla dessa funktioner.
Om man nu bockar i FTP så bör man ju ha lite koll på hur FTP fungerar och hur säkert (eller osäkert) det är och om det då är en bra funktion att använda.

Sen handlar det även om att hålla systemet uppdatera, tror ingen glömmer Synologys Synolocker som hände för rätt många år sedan och hur ont det gjorde för många.
https://www.extremetech.com/extreme/187518-synology-nas-devic...

Skrivet av reverend benny:

1. Om du inte vet riskerna med FTP så använd inte FTP.

https://techworld.idg.se/2.2524/1.639070/varfor-alskar-natver...

Fast det är ju precis det som nyheten handlar om. Det är sjukt enkelt att öppna upp sin NAS utan att veta vad man gör vilket utnyttjas av hackare. Det är klart man borde veta vad man gör fast påståendet tidigare var att folk som använder servrar automagiskt vet mycket om IT-säkerhet vilket jag påstår inte är sant. Läser man igenom tråden är det ju också rätt klart att verkligheten är den att många är omedvetna om riskerna och hur man skyddar sig.

Skrivet av Zotamedu:

Fast det är ju precis det som nyheten handlar om. Det är sjukt enkelt att öppna upp sin NAS utan att veta vad man gör vilket utnyttjas av hackare. Det är klart man borde veta vad man gör fast påståendet tidigare var att folk som använder servrar automagiskt vet mycket om IT-säkerhet vilket jag påstår inte är sant. Läser man igenom tråden är det ju också rätt klart att verkligheten är den att många är omedvetna om riskerna och hur man skyddar sig.

Det är sjukt enkelt att gå in och stjäla något i en butik, men vad finns det för risker med det och vad kan det få för konsekvenser?
Jag tycker det är skrämmande att man utsätter sig själv och andra för risker när informationen hur du sätter upp saker säkert finns en Googling bort, det handlar om ren och skär lathet och ovilja att förstå, inget annat.

När det gäller nyheten och artikeln så tycker jag den är lite spretig, man säger å ena sidan att Synology inte har problem med sin mjukvara men att andra har det och ger sken av att det är andra än Synology man bör akta sig för.
Tittar man tillbaka så är det ju snarare tvärtom plus att mjukvara är ju bara en liten del i det hela.
Sen skriver man att det verkar vara en riktad attack.

Men bra att det ändå tas upp, det är viktigt då minnen för livet och känslig info kan försvinna eller spridas utan att man vet om det.

Senast redigerat 2019-08-06 13:21
Skrivet av Zotamedu:

Fast om jag ska ha en FTP-server för att komma åt filer externt måste jag ju per definition exponera min NAS mot internet. En hackare behöver inte tillgång till administrationsgränsittet för att göra skada. Titta på lite DEFCON-presentationer så ska du se hur lite det behövs för att ta över enheter. En personlig favorit är de som hackade en skrivare, och alla datorer i samma nätverk som den, genom att skicka ett fax.

"Ingenting är omöjligt"

Sen går det ju bra att köra det via en reverse-proxy (t.ex. nginx) också och du exponerar fortfarande inte NAS:en publikt.

EDIT:
Värt att tilläggas är att dom flesta NAS-programvaror kör tredje-parts applikationer som t.ex. FTP, nextcloud eller vad man nu vill köra i en "sandbox" eller "jail".

Ett av mina intressen kring Linux är just IoT grejer. Jag vill ha koll på saker, inte förlita mig på någon annans flashiga mjukvara. Så många företag med så många egna lösningar nu för tiden (eller ja, så har det väl alltid varit)

Kör man NAS på en Intel-prolle kan man ju utnyttja senaste säkerhetshålet som man bara ska komma åt lokalt och få tag i krypteringsnyckeln?

Skickades från m.sweclockers.com