Forensisch softwarebedrijf waarschuwt voor encryptie-optie Synology NAS
Eigenaren van een Synology NAS moeten goed beseffen welke encryptie-optie ze gebruiken, anders lopen ze het risico dat een aanvaller toegang tot de data kan krijgen, zo waarschuwt Oleg Afonin van forensisch softwarebedrijf Elcomsoft. Elcomsoft ontwikkelt allerlei oplossingen om data van verschillende soorten systemen en apparaten te verkrijgen. Onder andere opsporings- en politiediensten maken gebruik van de oplossingen.
Elcomsoft biedt nog geen oplossing voor forensisch onderzoek naar NAS-systemen. Afonin besloot echter te onderzoeken wat er bij een forensische analyse van een Synology NAS komt kijken. Net als andere fabrikanten biedt Synology gebruikers de optie om data te versleutelen. Gebruikers kunnen ervoor kiezen om de encryptiesleutels in de ingebouwde Key Manager op te slaan. Deze optie zorgt ervoor dat de schijven automatisch worden gemount bij een reboot en de gebruiker niet zijn passphrase hoeft in te voeren.
"Dit ontwerp vormt ook een potentieel beveiligingslek. Zolang de sleutel en de schijven intact zijn, kan een aanvaller de data ontsleutelen zonder het bruteforcen van de sleutel", stelt Afonin. Dan is er ook nog een tweede probleem, merkt de forensisch expert op. De encryptie-passphrase van de gebruiker wordt door Synology met een andere passphrase versleuteld. Het gaat om een vooraf ingestelde passphrase die niet is te veranderen en op alle NAS-systemen wordt gebruikt.
Wanneer de gebruiker ervoor kiest om zijn eigen encryptiesleutel op de NAS op te slaan, zijn beide sleutels van het systeem te halen. Met de vooraf ingestelde passphrase kan een aanvaller toegang tot de encryptiesleutel van de gebruiker krijgen en daarmee zijn data ontsleutelen. Elcomsoft is van plan om verschillende scripts te maken waarmee de sleutels van een NAS zijn te achterhalen om vervolgens data op "koude" NAS-systemen en disk images te ontsleutelen.
"Het vertrouwen op de ingebouwde encryptie in de NAS-apparaten van Synology kan informatie in gevaar brengen, afhankelijk of de sleutel in de ingebouwde Key Manager is opgeslagen", besluit Afonin.
Note: when the key is stored on an internal hard drive, the wrapping passphrase cannot be changed. This is by design. Synology uses a single fixed, pre-programmed passphrase on all of its NAS units.
Wat is het doel van encryptie als de sleutel statisch is en bij iedereen hetzelfde is ????
Je hebt er dus niets aan., als ze de sleutel uit de firmware plukken en op internet zetten heb je er helemaal niets aan.
Juist, het heet "Security through obscurity".
Zonder het generieke default wachtwoord kon je niet van de ene naar de volgende Java versie.
Code mitigeren ging in dat geval dan niet. Overal zijn shortcuts like these.
Dit werkt voor alles zo. Weet je hoe het werkt, gaan de deuren voor je open.
Alles is zo letterlijk volledig pn*wed.
De massa slaapt, de staatshacker niet.
J.O.
Het is zinvol bij fysieke diefstal. Als je de schijven eruit haalt om via een dock uit te lezen, is de is de inhoud gecodeerd. Als je het admin account reset om in te kunnen loggen, wordt de sleutel voor automatische ontsleuteling ook gewist.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
