Inlägg

Inlägg som nikka har skrivit i forumet

Wow! Hatten av för Samsung. Detta var verkligen ett glädjande tilltag. Hoppas att fler tillverkare tar efter och inser fördelarna med att ha en representant här som kan bemöta medlemmarna på medlemmarnas nivå. Bättre reklam och synlighet än så kan de knappast få.

Lycka till med rekryteringen. Det ska bli spännande att se vad det mynnar ut i.

Tack för svaren. Jag har ställt samma fråga i fler forum och det verkar som att alla är strandade på apriluppdateringen och därmed saknar fyra säkerhetsuppdateringar. Detta är inte förenligt med Oneplus egna utfästelser.

https://forums.oneplus.com/threads/oneplus-software-maintenan...

Skrivet av evil penguin:

Får intrycket att den där sidan inte är korrekt uppdaterad med tanke på:
https://www.xda-developers.com/oneplus-5-5t-stable-android-10...
https://forums.oneplus.com/threads/oxygenos-10-0-0-for-the-on...

Dock intressant oavsett vilken patchlevel av Android 10 som de har nu.

Tackar, jag ska kolla igenom det. Hoppas att det även gäller oss i Sverige.

Säkerhetsuppdateringar för Oneplus 5-serien

Hej alla Oneplus 5- och Oneplus 5T-ägare. Jag undersöker hur väl olika Android-mobiltillverkare underhåller sina mobilmodeller med säkerhetsuppdateringar. Oneplus är en av tillverkarna som lovar tre år av säkerhetsuppdateringar till sina mobiler, däribland nya Oneplus Nord.

När jag kollar på Oneplus officiella webbplats verkar det dock som att Oneplus 5 och Oneplus 5T har strandat på säkerhetsuppdateringen från februari 2020. Jag undrar därför om informationen på webbplatsen är förlegad eller om Oneplus valde att sluta underhålla mobilerna i förtid.

Om du har en Oneplus 5 eller Oneplus 5T som kör den officiella Android-versionen (inte Beta build) får du gärna kolla vilken den senaste uppdateringen du har fått är. I vanliga Android görs det genom att öppna Inställningar, välja System och klicka på Systemuppdatering.

https://www.oneplus.com/se/support/softwareupgrade/details?co...
https://www.oneplus.com/se/support/softwareupgrade/details?co...

Skrivet av issue:

nu kanske jag har matkoma sen middagen så jag är lite trög.

Det är alltså inga problmem att migrera nuvarande kameror till protect.
Men nuvarande kameror går ändå end of life och slutar få uppdateringar, men fortsätter fungera?

När det gäller kamerorna så går de att migrera till den nya Unifi Protect-plattformen (undantag för första generationen men den har jag för mig att redan är end-of-life ändå). Kamerorna går alltså att använda vidare. Det som slutar fungera är molntjänsten som kopplar samman kamerorna med Unifi Video-servern, vilken samtidigt slutar få säkerhetsuppdateringar. Som administratör behöver du därför migrera kamerorna till Unifi Protect och skaffa en Unifi Protect-inspelare (se tidigare kommentar för lista över kompatibel inspelningshårdvara).

Skrivet av Baxtex:

Var det inte LTT Linus som monterade det i sitt hus för några veckor sedan? Antar att det går att vänta en "Rant" video från honom...

Han hoppade lyckligtvis direkt in på ersättaren Unifi Protect.
https://www.youtube.com/watch?v=NkjD4xIhfTw

Skrivet av joakim99:

Är detta verkligen korrekt "uppgradera till alternativet Unifi Protect som inte erbjuder lokal hantering av inspelat material"? Jag har i varje fall mina inspelningar lokalt på min Cloudkey.

Nope. Jag gnällde över att Unifi Protect kräver ny hårdvara som många inte räknat med i kostnaden när de valde Unifi. För er som vill veta mer om detta så är följande inspelningsenheter kompatibla än så länge (kommentera gärna om ni känner till fler).
* Unifi Cloud Key 2 Plus
* Unifi Dream Machine Pro
* Unifi Protect NVR.

Framtiden för övriga NVR-modeller är oklar.

"UniFi Protect is currently only available on the UniFi Cloud Key Gen2 Plus. Support for the UniFi Application Server XG (UAS-XG) and the UVC-NVR / UVC-NVR-2TB are being evaluated for future release."
https://help.ui.com/hc/en-us/articles/360011480554-UniFi-Prot...

Du har egentligen två alternativ. Vilket alternativ som är bäst beror på hur stora skillnaderna ska vara mellan de två språkversionerna. Ifall innehållet ska variera mycket mellan de två versionerna gör du bäst i att köra en multisite-installation med de två språkversionerna på varsin subdomän eller i varsin underkatalog. Ifall innehållet ska vara ungefär detsamma (bara översatt) gör du bäst i att använda ett multispråkstillägg som WPML.

Skrivet av AMD-FX:

Själv använder jag Foxit (snabbare än Adobes slöläsare). Vet inte om det programmet är säkrare

Foxits PDF-läsare har också dragits med många sårbarheter genom åren (https://www.cvedetails.com/vulnerability-list/vendor_id-7654/...). Det är bevisligen svårt att hålla de mer funktionella PDF-läsarna fria från sårbarheter. Med det sagt så vill jag poängtera att sårbarheten som @loevet skriver om inte har något med PDF-formatet att göra.

Skrivet av superegg:

Jag har ställt in att PDF ska som standard öppna med Chrome, då blir det en Chrome icon på filerna. Men det kanske inte skyddare ändå?

Jodå. Det skyddar mot attacker där infekterade PDF-filer annars kunnat råka öppnas av misstag med Acrobat Reader (som i sin tur kunnat infektera datorn ifall Acrobat Reader inte var uppdaterat). Men det skyddar inte mot attacken som @loevet skriver om.

Skrivet av superegg:

Jag öppnar PDF filer med Chrome vet dock inte om det är säkrare, använder inte Adobe.

Med tanke på de många problem som plågat Acrobat Reader genom åren tycker jag att det låter som en klok idé. I det här fallet hjälper det dock inte då sårbarheten inte ligger i hur programmen tolkar PDF-filer.

Skrivet av AMD-FX:

En annan har inget från Adobe

Bara så att det inte blir några missförstånd: Adobe Type Manager är förinstallerat i Windows. Det är alltså ingen Adobe-produkt som behöver installeras manuellt för att systemet ska bli sårbart.

Skrivet av Loxus:

Skulle vilja höra motiveringen bakom det. Förut gick det att gå in i Chrome och se alla lösenord utan vidare, men det var ju ett bra tag sen.

Skrivet av Svantesson666:

Ja jag undrar också varför den skulle vara sämre än någon annan?

När jag pratade med @loevet så diskuterade vi Google Chrome eftersom det är den största webbläsaren. Tyvärr går det fortfarande att läsa ut alla lösenord ur Google Chromes lösenordshanterare (Windows). Du behöver inte ens några specialprogram för att göra det. Öppna Mozilla Firefox, välj att importera lösenorden från Chrome och klicka på att visa lösenorden. Ett skadeprogram kan läsa ut lösenorden på samma sätt.

Skrivet av aragon:

funderar på hur stödet för HA kommer bli om det kommer var krypterat både inom och utanför. samt vilket standard på z-wave den kommer köra, hoppas på 7 men risken är väl plus (5-6)

Det är femte generationens Z-wave (se https://newsroom.fibaro.com/en/ces-2020-home-center-3-the-mos... där det står Z-wave 500).

Skrivet av gizthewiz:

Jag vet att jag är sen på den här bollen, och jag kan mkt lite om sånt här, och kanske har helt fel. Men. F-secures freedome verkar ju läcka IP-adresser. Om man kollar i klippet så kan whatismyip.com identifiera IPv6-adressen både före och efter Emil slår på VPN-anslutningen och då den är densamma så verkar ju denna trafik inte gå via VPN och då är ju nästan hela poängen borta.

Det lämnas utan kommentar i både klippet och texten. Vilket i sig hade kanske gjort sponsorn lite sur...

Skrivet av iBurningMan:

Jag la också märke till det. 176.64.x.x både med och utan VPN. Det kan dock läcka om man har WebRTC påslaget, då det skickar både det publika IP't man får ifrån ISP såväl som det lokala IP't på klienten. Ett otyg!

Kan @Nikka vara vänlig och förklara vad vi ser, i klartext?

Det var intressant. Jag fångade inte ens upp det när jag klippte avsnittet. Jag tror att det var ett caching-problem med IP-testartjänsten.

IPv6-adressen som visas innan jag slår på VPN-tunneln tillhör Portlane/Glesys som hostar svenska Freedome. Troligtvis låg den IPv6-adressen kvar i någon cache från en tidigare tagning och ersattes inte när jag anslöt utan IPv6. Jag har försökt att återskapa felet men lyckas inte.

För säkerhets skull testade jag nu också att ansluta med både IPv4 och IPv6 (via 6rd) och säkerställde att båda IP-adresserna uppdaterades.

Lite goda nyheter för utpressningstrojansdrabbade Qnap-användare. Utpressningstrojanen eCh0raix hade fram till den 17:e juli en bugg som går att utnyttja för att dekryptera sina utpressningskrypterade filer. Läs mer hos Bleeping Computer.

https://www.bleepingcomputer.com/ransomware/decryptor/ech0rai...

Nu har jag gjort klart guiden som i tio steg går igenom hur en Nas bör konfigureras ur säkerhetsperspektiv. Guiden utgår från Synology DSM men råden är allmängiltiga. Se https://nikka.systems/190806.

Text och bild är Creative Commons (CC-BY 4.0) med undantag för bildbanksbilden längst upp.

Skrivet av sickhouse:

Hmm, kör

DSM 6.0.2-8451 Update 11

på min Synology... aja

Intressant. Finns det ingen nyare version till den? Synology har till och med släppt uppdateringar till min Nas från 2011.

Skrivet av Freezer64Pro:

@nikka:
Hur bör man tänka med ogiltiga inloggningsförsök, för att spärra dessa försök så snabbt som möjligt. Har idag 5 försök inom 5 minuter samt att IP inte tas bort.
Avser sätta upp FTP till Nasen (Synology), men kan jag då på något sätt blockera access från WAN. Ska enbart användas lokalt.

Tacksam för svar
//Freezer

Så länge som du har starka lösenord (läs ”långa lösenord”) och har aktiverat tvåstegsverifiering är botarnas misslyckade inloggningsförsök inget du behöver oroa dig över. De kommer bara hinna testa ett fåtal lösenord innan de blir utelåsta. Jag låser IP-adresser när de har testat tio felaktiga lösenord inom 60 minuter och jag plockar bort blockeringen efter 30 dagar (på grund av att de blockerade IP-adresserna potentiellt sett skulle kunna tilldelas nya abonnenter).

Hur pass hårt du kan sätta IP-blockeringen beror på vad du använder din Nas till och vad hur många utomstående som ansluter till den över internet. Så länge du har funktionen aktiv anser jag dock att du har gjort tillräckligt. Med starka lösenord och tvåstegsverifiering finns det ingen chans att angripare kan komma in genom att gissa lösenorden (forcera gärna starka lösenord genom Nas-enhetens användarinställningar).

Om jag förstod frågan om FTP rätt är tanken att du ska använda FTP för åtkomst över internet och att Nas-enheten annars endast ska användas lokalt. Mitt svar utgår från detta. Först och främst måste jag avråda från att använda FTP. Använd i stället FTPS (SSH), SFTP eller Webdav (TLS) för att få en säker anslutning. Du hittar tillhörande standardportar på https://www.synology.com/en-us/knowledgebase/DSM/tutorial/Net.... Öppna endast portarna som är nödvändiga att öppna, till exempel 5006 för för Webdav (TLS), och byt gärna från standardportarna. Du kan mappa om portarna i din routers brandväggskonfiguration så att du använder standardportar på insidan och egna portnummer på utsidan.

Skrivet av Nima2001:

Hur mycket gäller detta för dom som inte öppnat några portar för NASen mot internet..?
Kör två xpenology hemma men ingen av dom är tillgänglig från WAN

Attackerna som beskrivs i artikeln gäller internetexponerade Nas-enheter. Dessa attacker infekterar själva Nas-operativsystemet och krypterar därefter filerna. Nas-enheter som endast är åtkomliga inom det lokala nätverket löper ytterst liten risk för att drabbas av en sådan utpressningstrojan eftersom den i så fall måste spridas från en infekterad enhet i det lokala nätverket.

I ursprungsartikel som SweClockers länkar till tipsar jag om möjligheten att använda VPN för fjärråtkomst. Många av dagens kraftfullare routrar kan agera Open-VPN-server så att du kan ansluta på ett säkert sätt till ditt lokala nätverk över internet. Då kan du komma åt filerna på din Nas-enhet utan att behöva exponera den mot internet. Detta tips rekommenderar jag framförallt alla som har Nas-modeller som underhållsmässigt nått ”end-of-life” att följa.

Obs! Filerna som du lagrar på Nas-enheten kan vara utsatta trots att Nas-enheten i sig inte är exponerad mot internet. Om en utpressningstrojan infekterar en dator i det lokala nätverket kan trojanen även utpressningskryptera filer som finns på anslutna nätverksresurser.