群晖的数据劫持门 带来的教训

2014 年 8 月 16 日8410

  最近群晖用户数据遭恶意加密事件为广大的NAS行业厂商提了个醒,售卖无人监管的系统是一件多么危险的事儿。

  有媒体报道称,群晖的NAS遭受了名为Synolocker 的攻击,它是Cryptolocker的变种病毒,与Cryptolocker功能类似,可以加密你的数据,需要秘钥才能解锁那些数据。

  怎么回事儿?怎么办?

  问题出在系统的设计上,群晖推荐的配置可以让黑客接触到面相网络的群晖NAS,从而安装恶意软件导致悲剧发生。

  据我所知,群晖正打算加入双重验证,除此之外还有别的措施。

  所有的“root”和“admin”账户的密码都要重新更改一下,这个在管理界面就可以很容易做到。理想情况下,如果管理页面需要被暴露出来,也应该有相应的选项只让没有特殊权限的用户来访问。

  群晖不应该让那么多应用跑在一个网络服务器上,更别说同一个端口上了。如果确实需要暴漏到互联网上,也应该可以做到单独的暴露,并且不暴露管理界面。

  关于这事儿我也跟群晖的人联系过,也提出了如下部分建议。如果他们想要尽快的解决问题,必须进行事关重大的、花费巨大的安全策略研究。

  1.内部立即进行全面的安全审计,包括所有的更新包和核心DSM。

  2.对DSM管理页面和DSM核心组件、协议等暴露到网络的部分进行外部安全审计。

  3.从安全的角度出发重写推荐配置。

  4.在新的安全更新在被提交之前创建一个变更管理流程。

  可以的话,我觉得群晖最好还是跟防火墙厂商合作来为NAS提供应用层网关级防火墙,但是代价还是相当昂贵。虽然最近的安全问题挺多,但是我比较喜欢群晖的产品也还将会继续使用,我期待他们的产品可以提供更深层次的防护手段,尽管最终还是让我们这些消费者来买单。

  NAS之外

  群晖的NAS不只是简单的做做文件共享或者是块存储就完事儿了,它可以提供从邮件到LDAP服务器、网络服务器到反病毒的所有东西。如果有应用层的防火墙的加入将会极大地帮助探测和缓解网络攻击。由于没有Fail2Ban安装所以没有入侵检测功能。

  所有这些问题都得让群晖来解决,因为无论是DiskStation 还是 RackStation都不再是一个简单的NAS。他们是比微软的SMB更复杂更强大的全面型服务器。当群晖从“只是一个文件服务器”成长为“完整的网络存储组件”,他就迫切地需要有入侵探测功能。

  不过,我们抓着一个公司不放要求他作过多的要求也不太好,毕竟也没有几个SMB NAS厂商做到了这些,但最终都可能会栽在这上头。随便找几个NAS就能看到一系列的漏洞,这些厂商想为更多的人做更多的事情就得解决这些问题。

  共有的责任

  安全是共有的责任。首先,群晖当然得为过于自信代码的安全性造成的后果去面壁,当然,成千上万的系统管理员和终端用户也得为自己过分信任别人产品的安全性得到教训。

  像群会这样规模的公司有时候还会有安全性问题,许多还相当严重。微软在Windows XP平台上灾难性病毒的启示过后花了数十年的时间来重塑自己“安全第一”的公司形象,但是还是有不少安全性问题。如果想经过几秒的配置就把设备安全的连接到互联网这仍是个大问题。

  一些公司投入大量资金开始在物联网方向寻求解决方案,但是还是又不少问题。自动化深度安全防御的实现并不容易实现,使用任何供应商的产品时仍需要我们自己开通脑筋。

  作为系统管理员我们要对任何产品、任何应用、任何服务的安全性持有怀疑态度。我们的工作就是尽可能多的熟悉我们部署的产品从而尽可能的保证系统安全运行。

  在今天的家电和物联网世界,你不仅需要防火墙、代理服务器、软件层的网关和入侵检测系统,而且比什么时候都强烈的需要。安全主要的责任仍是系统管理员的责任,因为他是供应商。

  群晖的反应

  除了以上提到的措施,为了尽可能保证情况不再出现,群晖听取了来自社交媒体上用户的声音,

  对今天的环境来说,IPv4的世界我尚且可以躲在防火墙的背后,但是群晖的一大部分功能都在强化网络远程访问文件的功能。IPv6将会使得更多联网的设备都可以被公开寻址,这些威胁都是群晖需要解决的问题。

  有鉴于此,我暂没有把群晖钉在十字架上的打算。当前的情况的处理对群晖来说至关重要,处理是否得当决定了它的长期生命力,尤其关系到了它在往高端企业级市场突进的成败。

  更新

  群晖针对SynoLocker提供的更新中是这么说的:

  据我们观察,这一问题主要影响到了老版本的DSM((DSM 4.3-3810 或者更早),当中的漏洞在13年十二月份的时候就已经修补过了,在我们最新的DSM 5.0中并没有发现这一漏洞。

  对于正在使用DSM 4.3-3810 或者更老版本的客户,如果遇到以下状况,我们建议你关掉系统并且联系我们的技术团队。

  https://myds.synology.com/support/support_form.php.

  · · 登陆DSM的时候弹出已被加密并且要求付费来解锁数据的提示框。

  · · 有名为“synosync”的进程在运行。

  · · 安装的是DSM 4.3-3810及以前的版本,但是系统提示这是最新的版本。

  对于没有遇到上述状况的用户,我们强烈建议你升级到DSM 5.0以及以上的版本:

  · · DSM 4.3的用户请安装DSM 4.3-3827 及以上版本。

  · · DSM 4.1或者DSM 4.2的用户请安装DSM 4.2-3243及以上版本。

  · · DSM 4.0的用户请安装DSM 4.0-2259及以上版本。

  DSM的升级方法是找到Control Panel > DSM Update,用户也可以手动下载安装最新版本,地址是http://http://www.zjjv.com///support/download.

0 0