Computerbeveiliging - Hoe je bad guys buiten de deur houdt

Synolocker

04-08-2014, 08:52 door Briolet, 28 reacties
Laatst bijgewerkt: 04-08-2014, 09:46
Er is blijkbaar weer een variant van Crypto Locker software ontwikkeld. Dit keer specifiek geschreven voor de Synology Nas. Dat is natuurlijk een opslagmedium waar mensen veel files op zetten.

Gisteren was er een melding op het Nederlandse Synology forum: http://www.synology-forum.nl/synology-dsm-4-3/synolocker/msg119432. Maar ook op het internationale Synology forum is er inmiddels een melding van.

Mijn eerste vermoeden is dat het mensen betreft die op niet ge-update systemen werken. Voor zover men al een versie noemt, zie ik steeds DSM 4.3. En voorzover de subversie vermeld worden zijn het degene die verouderd zijn met bekende security lekken.

I am on 4.3 with no updates
Reacties (28)
04-08-2014, 09:46 door Anoniem
Java mogelijk weer eens in het spel?

Gezien de populariteit van Java onder malware schrijvers en de slechte updateroutine van veel gebruikers zou het me niet verbazen als infectieroute gewoon via de pc en met de vriendelijke hulp van Java gaat.

Gebruikers doen er sowieso goed aan dus eerst maar eens de geïnstalleerde Java versie te checken en te updaten!
Is dat risico alvast een beetje meer afgedekt, of het helpt,..

'We' wachten het met 'spanning' af.

Op de login pagina van de malware aanbieders valt verder weinig te zien.
Een lock icoontje en een inlog veld.
04-08-2014, 11:15 door Profeet
Nasty, het enige wat er nog aan scheelt is een combi crypto. Die de bestanden op pc en de backup op je nas encrypt. :)
04-08-2014, 12:25 door Anoniem
Door Briolet: Mijn eerste vermoeden is dat het mensen betreft die op niet ge-update systemen werken. Voor zover men al een versie noemt, zie ik steeds DSM 4.3. En voorzover de subversie vermeld worden zijn het degene die verouderd zijn met bekende security lekken.

I am on 4.3 with no updates
Ook mijn eerste gedachte. (Heartbleed?)

M'n zwager (manager account-managers bij een grote bank) afgelopen weekend: "Mijn NAS updaten? Waarom zou ik, daar staat helemaal geen software op!"

*zucht* (Om over allerlei smart-zooi / IoT niet te beginnen)
04-08-2014, 13:41 door Anoniem
Dat is interessant. Kennelijk is het toch niet alleen Windows waarmee dit soort dingen kan gebeuren.

Kom er maar in, Linux fans!
04-08-2014, 18:40 door Anoniem
Prima dat dit soort zaken voorkomen omdat men zegt dat de gebruiker te lui is alles te updaten maar dat een fabrikant zelf compleet stil blijft baart mij het meeste zorgen. Die had volgens mij zelf aan de bel moeten trekken om de mogelijke kwetsbaarheid kenbaar te maken.

Maar nee, tegenwoordig produceren ze rotzooi en als er een probleem is schuiven ze dit af. In ons vak noemen ze dat prutsers maar in de ICT zijn het pioniers en innovaties..... triest Synology maar niet meer gebruiken.

Overigens is DSM net zo kwetsbaar volgens verschillende meldingen in het Forum van Synology. Maar medewerkers zelf hoor je niet van Synology
04-08-2014, 19:53 door Anoniem
Dat vind ik wel een beetje kort door de bocht. Ben zelf een zeer tevreden gebruiker van de Synology NAS en om hun software nu als rotzooi te bestempelen vind ik wel wat te sterk aangezet.Dus ik blijf zeker Synology gebruiken.

Waar aan voorbij gegaan word is het feit dat er dus schorremorrie op het internet zit die zijn/haar kennis inzet om de gewone man het leven zuur te maken. Van mij mag de NSA per direct al zijn middelen inzetten om dat tuig te lokaliseren en voor jaren achter de tralies te stoppen.

En als je zelf meer kennis van zaken hebt, waarom dan geen draadje gestart om de " gewone man" te helpen met wat basis instellingen om zijn eigen nasje veilig te stellen (of in ieder geval zo veilig mogelijk)
04-08-2014, 19:57 door spatieman
ik snap het niet.
DSM 5 is toch al best lang uit.
is upgraden dan zo moeilijk, of zijn ze gewoon lui.
04-08-2014, 22:54 door Anoniem
DSM 5 draait niet op oudere modellen van Synology. Vandaar dat veel mensen nog versie 4.x hebben.
04-08-2014, 22:57 door Anoniem

Waar aan voorbij gegaan word is het feit dat er dus schorremorrie op het internet zit die zijn/haar kennis inzet om de gewone man het leven zuur te maken. Van mij mag de NSA per direct al zijn middelen inzetten om dat tuig te lokaliseren en voor jaren achter de tralies te stoppen.

Ja maar waar ook aan voorbij gegaan wordt is dat als het Windows betreft dan iedereen hier schrijft dat het allemaal
rotzooi is wat Microsoft maakt en dat het heel simpel aan te vallen is, en dat iedereen maar op Linux moet overgaan.
En als het dan een keer Linux is wat aangevallen wordt dan is het allemaal schorremorrie wat de oorzaak is en hadden
de mensen moeten updaten.

Daar zit toch iets scheef. Natuurlijk is het schorremorrie maar dat is het ook als ze Windows aanvallen. Dan moeten
ze ook gepakt worden, want de gewone man met zijn NASje is net zo goed de pineut als de gewone man met zijn
Windows XP PC.
04-08-2014, 23:42 door Anoniem
Door spatieman: ik snap het niet.
DSM 5 is toch al best lang uit.
is upgraden dan zo moeilijk, of zijn ze gewoon lui.
De oudere Synology's (bijvoorbeeld de DS209) kunnen geen 5 draaien.
05-08-2014, 07:18 door Anoniem
Over 'te lui voor upgraden': Ik heb twee Syno NASsen, Een relatief nieuwe en een wat oudere. Voor de oudere maakt Synology helaas geen updates meer, voor de nieuwe uiteraard wel. De oude gebruik ik nu alleen voor backup van data op de nieuwe, maar het is wel jammer.
05-08-2014, 09:05 door Anoniem
Door spatieman: ik snap het niet.
DSM 5 is toch al best lang uit.
is upgraden dan zo moeilijk, of zijn ze gewoon lui.

Ja ze zijn allemaal te lui. Vooral te lui om geld uit te geven aan een nieuw NAS die wel versie 5.x ondersteunt. Kort door de bocht allemaal weer hoor.

Ik ben zelf een hele tevreden gebruiker van een Synology en ben helemaal up to date. Veel mensen die ik ken hebben een Synology die al wat ouder is en daar draait de nieuwste versie niet op. Ik ben het met de vorige anonieme reageerder eens dat het tuig dat dit soort zaken ontwikkelt aangepakt moet worden. De gemiddelde "gewone man" snapt niet wat er gaande is en eerlijk gezegd hoeft dat ook niet denk ik. Zijn wij allemaal op de hoogte van de precieze techniek in onze GSM, Televisie of Navigatie systeem? Nee? Dus moeten we ze ook maar niet gebruiken?

Beetje omgekeerde wereld. Als je je fiets niet op slot zet en hij is weg dan is het je eigen schuld? Kom op. Mensen moeten weer eens leren met hun poten van andermans spullen af te blijven.
05-08-2014, 09:49 door Anoniem
Als je nou betaald, krijg je dan echt je files terug of wordt je alsnog te pakken genomen? Weet iemand dit?
05-08-2014, 10:53 door beantherio - Bijgewerkt: 05-08-2014, 11:14
Door spatieman: ik snap het niet.
DSM 5 is toch al best lang uit.
is upgraden dan zo moeilijk, of zijn ze gewoon lui.
Systemen die op versie 5 draaien zijn ook getroffen. Zie o.a. dit screenshot van een 5.0-systeem: http://www.ifun.de/synolock-malware-sperrt-synology-systeme-64080/

Onduidelijk is of ook de meest recente updates van 5.0 gevoelig zijn voor dit probleem.

edit: blijkbaar is ook de meest recente update vatbaar voor dit probleem. Zie o.a. deze posting: http://www.synology-forum.nl/firmware-algemeen/let-op-nas-hack-synolocker-actief/msg119634/#msg119634
05-08-2014, 11:49 door Vandy - Bijgewerkt: 05-08-2014, 11:50
Door Anoniem: Als je nou betaald, krijg je dan echt je files terug of wordt je alsnog te pakken genomen? Weet iemand dit?
Je weet het pas al je hebt betaald. Net als bij Cryptolocker, waar verhalen zijn van mensen die na betaling werden "ge-unlocked" maar ook van mensen die wel betaalden maar geen unlock kregen.

Maar goed, net als bij CryptoLocker is er geen andere oplossing; dus of je moet een recente backup erbij pakken en die installeren, of - als je dat bent "vergeten" - hopen dat betalen daadwerkelijk tot unlock leidt. Je kunt het dan tevens beschouwen als dure les om voortaan wel keurig minimaal eens per dag een backup te draaien.
05-08-2014, 12:18 door Briolet
Door Vandy: ...Je kunt het dan tevens beschouwen als dure les om voortaan wel keurig minimaal eens per dag een backup te draaien.

Maar zorg dan wel dat de backup niet automatisch gekoppeld wordt, anders heeft het nog geen zin.

zie: http://forum.synology.com/enu/viewtopic.php?f=3&t=88716&sid=a30f2b26f8b7c0343d3a0cce2c47f168&start=15

same problem here - hacked on 2nd Aug, all files encrypted and backup also encrypted....
05-08-2014, 12:36 door Anoniem
Door spatieman: ik snap het niet.
DSM 5 is toch al best lang uit.
is upgraden dan zo moeilijk, of zijn ze gewoon lui.

Het mooie is dat Synology zelfs voor DSM 4 nog gewoon updates uit brengt en niet alleen voor DSM 5. Het zijn dus echt de gebruikers zelf die te lui zijn om te updaten. Verder zijn er ook veel mensen die alle standaard instellingen gebruiken. Dus het 'standaard' admin account niet uitzetten. Geen sterk wachtwoord. Gewoon poort 5000 (http) en niet 5001 (https) gebruiken.

Kort om het is allemaal te voorkomen. Ik heb zelf ook een Synology nas draaien en zal hier niet vanaf stappen.
05-08-2014, 14:16 door spatieman
hmky.
wat ik trouwens op syno forum las, system wat de lul zijn, waren meestal gelinkt naar internet toe, ai.
hoop dat synology met een oplossing komt, want anders zullen weel users zwaar de lul zijn.
05-08-2014, 15:22 door Anoniem
Door Vandy:Je kunt het dan tevens beschouwen als dure les om voortaan wel keurig minimaal eens per dag een backup te draaien.

En als een les om niet 1 generatie van backup aan te houden... want dan kan het je nog overkomen dat je keurig de
gecrypte files over je vorige backup heen zet en er dan achter komt dat je getroffen bent.
05-08-2014, 17:36 door Anoniem
Door spatieman: hmky.
wat ik trouwens op syno forum las, system wat de lul zijn, waren meestal gelinkt naar internet toe, ai.
hoop dat synology met een oplossing komt, want anders zullen weel users zwaar de lul zijn.

Ja wiseguy, zie dat je geen verstand hebt van Synology nassen, want er is ook een heleboel gezeur als je wel besluit om de nieuwste updates te gebruiken. Kan me herinneren dat een mailserver eruit lag bij een update. Het is dus ook heel onverstandig om gelijk bij de eersten te zijn met updates omdat daar ook Bugs inzitten. Dus wat is wijsheid. Je hebt wel heel makkelijk praten. Je kan ook zwaar de lul zijn al je wel haantje de voorste bent.
05-08-2014, 18:24 door Anoniem
Door Anoniem: Java mogelijk weer eens in het spel?

Nee zomaar een keer niet het geval.
In het kader van de actualiteit en het niet moeten missen van security updates dan een kattebelletje voor een andere update

'Ask Toolbar' 7 update 67

Om iets van 130 andere probleempjes te verhelpen, http://www.oracle.com/technetwork/java/javase/downloads/jdk7-downloads-1880260.html
05-08-2014, 20:16 door Briolet - Bijgewerkt: 05-08-2014, 20:18
Door Anoniem: Prima dat dit soort zaken voorkomen omdat men zegt dat de gebruiker te lui is alles te updaten maar dat een fabrikant zelf compleet stil blijft baart mij het meeste zorgen. Die had volgens mij zelf aan de bel moeten trekken om de mogelijke kwetsbaarheid kenbaar te maken.

Zoals het er nu naar uit ziet heeft Synology deze kwetsbaarheid al een half jaar geleden gemeld en gepatched. En zelfs voor 3 oudere DSM versies zijn indertijd security updates uitgebracht. Veel gebruikers kijken gewoon zelden of er een update is.

Synology heeft vanmiddag wat afdwingender maatregelen afgekondigd: Hun DDNS dienst checkt nu de versie en weigert een IP met een niet geupdate NAS te registreren. Idem met hun QuickConnect systeem. Vanaf nu werkt dat niet meer op niet geupdate nassen.
05-08-2014, 21:24 door Rolfieo
Door beantherio:
Door spatieman: ik snap het niet.
DSM 5 is toch al best lang uit.
is upgraden dan zo moeilijk, of zijn ze gewoon lui.
Systemen die op versie 5 draaien zijn ook getroffen. Zie o.a. dit screenshot van een 5.0-systeem: http://www.ifun.de/synolock-malware-sperrt-synology-systeme-64080/

Onduidelijk is of ook de meest recente updates van 5.0 gevoelig zijn voor dit probleem.

edit: blijkbaar is ook de meest recente update vatbaar voor dit probleem. Zie o.a. deze posting: http://www.synology-forum.nl/firmware-algemeen/let-op-nas-hack-synolocker-actief/msg119634/#msg119634

Helaas incorrect. Latere onderzoek bleek, dat men eerst nog versie 4.3 draaide, geïnfecteerd waren, en daarna een upgrade uitvoerde naar versie 5.En daarna was versie 5 ook geïnfecteerd.
09-08-2014, 08:26 door Anoniem
Door Anoniem: Dat is interessant. Kennelijk is het toch niet alleen Windows waarmee dit soort dingen kan gebeuren.

Kom er maar in, Linux fans!

bij windows gebeurt het zelfs met volledig up to date soft(bloat)ware

bij linux alleen maar als je een of andere gek hebt die niet van updaten houdt
09-08-2014, 16:13 door Anoniem
Sinds wanneer is het updaten van software een must om de boel veilig te krijgen.
- De koffiezetautomaat (die grotere) heeft het
- De koelkast heft het
- je TV radio / player heeft het
- je klokje heeft het
- de auto is er mee uitgerust
Vrijwel alle apparatuur is er op gericht om te blijven draaien wat er ook vanuit de buitenwereld gebeurd.
Als je echt je mobieltje wilt wassen moet die ook een wasecht label hebben.

Alle gekheid op een stokje. Waarom kan computerapparatuur niet betrouwbaar blijven werken zonder "updates".
Voor autos is er zo'n call back onderhoud indien er iets is wat verwijtbare schade zou kunnen veroorzaken.
10-08-2014, 09:07 door Anoniem
Door Anoniem:
Door Anoniem: Dat is interessant. Kennelijk is het toch niet alleen Windows waarmee dit soort dingen kan gebeuren.

Kom er maar in, Linux fans!

bij windows gebeurt het zelfs met volledig up to date soft(bloat)ware

bij linux alleen maar als je een of andere gek hebt die niet van updaten houdt

Onzin uiteraard, die lekken zaten er gewoon in dus voor de update uitkwam waren die gewoon exploiteerbaar
al update je nog zo vaak.
10-08-2014, 11:12 door Briolet - Bijgewerkt: 10-08-2014, 11:14
Natuurlijk zaten die lekken er al zeker een jaartje in, maar niemand had ze ontdekt dus was er geen schade. Naar Synology aanneemt heeft men 1 van de volgende twee lekken gebruikt: (CVE-2013-6955 of CVE-2013-6987) Beide zaten in DSM versies 4.0 t/m 4.3. Dus moet het er al in gezeten hebben sinds minimaal versie 4.0

Eind 2013 hebben echter al deze versies een update gekregen. En in die tijd kwamen de lekken in de openbaarheid en gingen malware schrijvers mee aan de gang, in de wetenschap dat er altijd apparatuur is die niet ge-update wordt. In Februari 2014 was dan de eerste malware klaar en infecteerde de nassen. Dit was e-coin miner (een variant van de bitcoin). Bij deze malware was het enige hinderlijke dat hij CPU tijd verbruikte waardoor de nas traag werd. Synology heeft vervolgens aan het hele e-mail bestand een mail gestuurd met dit probleem en hoe je de coin-miner weer simpel kunt verwijderen door het systeem opnieuw te installeren. En ze wezen op de updates die dit lek dichten.

Blijkbaar heeft zelfs deze mail niet tot gevolg gehad dat ook de laatsten hun software hebben ge-update. En nu is er dus de volgende malware waar de schrijvers een ruim half jaar de tijd gehad hebben om te schrijven. Blijkbaar loont het zelfs om nog zo lang na het updaten van een lek, hier malware voor te schrijven.

Ook deze week heeft Synology weer een mail naar alle bekende e-mail adressen gestuurd met een "please update" verzoek.
11-08-2014, 11:26 door Anoniem
Door Briolet: Ook deze week heeft Synology weer een mail naar alle bekende e-mail adressen gestuurd met een "please update" verzoek.

Je hebt er kennelijk die na aankoop hun product niet registreren bij Synology en ook geen e-mail adres opgeven. Of ze hebben ooit een e-mailadres opgegeven dat inmiddels niet meer bestaat. Die krijgen niet eens de "please update" mail.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.