最近群暉用戶數(shù)據(jù)遭惡意加密事件為廣大的NAS行業(yè)廠商提了個醒�,售賣無人監(jiān)管的系統(tǒng)是一件多么危險的事兒�����。
有媒體報道稱��,群暉的NAS遭受了名為Synolocker 的攻擊���,它是Cryptolocker的變種病毒�,與Cryptolocker功能類似,可以加密你的數(shù)據(jù)���,需要秘鑰才能解鎖那些數(shù)據(jù)�。
怎么回事兒?怎么辦?
問題出在系統(tǒng)的設(shè)計上�,群暉推薦的配置可以讓黑客接觸到面相網(wǎng)絡(luò)的群暉NAS,從而安裝惡意軟件導致悲劇發(fā)生���。
據(jù)我所知���,群暉正打算加入雙重驗證,除此之外還有別的措施�����。
所有的“root”和“admin”賬戶的密碼都要重新更改一下���,這個在管理界面就可以很容易做到��。理想情況下��,如果管理頁面需要被暴露出來��,也應(yīng)該有相應(yīng)的選項只讓沒有特殊權(quán)限的用戶來訪問��。
群暉不應(yīng)該讓那么多應(yīng)用跑在一個網(wǎng)絡(luò)服務(wù)器上���,更別說同一個端口上了。如果確實需要暴漏到互聯(lián)網(wǎng)上����,也應(yīng)該可以做到單獨的暴露,并且不暴露管理界面��。
關(guān)于這事兒我也跟群暉的人聯(lián)系過���,也提出了如下部分建議��。如果他們想要盡快的解決問題����,必須進行事關(guān)重大的����、花費巨大的安全策略研究。
1.內(nèi)部立即進行全面的安全審計�,包括所有的更新包和核心DSM。
2.對DSM管理頁面和DSM核心組件、協(xié)議等暴露到網(wǎng)絡(luò)的部分進行外部安全審計��。
3.從安全的角度出發(fā)重寫推薦配置��。
4.在新的安全更新在被提交之前創(chuàng)建一個變更管理流程���。
可以的話��,我覺得群暉最好還是跟防火墻廠商合作來為NAS提供應(yīng)用層網(wǎng)關(guān)級防火墻�����,但是代價還是相當昂貴�����。雖然最近的安全問題挺多����,但是我比較喜歡群暉的產(chǎn)品也還將會繼續(xù)使用���,我期待他們的產(chǎn)品可以提供更深層次的防護手段��,盡管最終還是讓我們這些消費者來買單����。
NAS之外
群暉的NAS不只是簡單的做做文件共享或者是塊存儲就完事兒了,它可以提供從郵件到LDAP服務(wù)器�����、網(wǎng)絡(luò)服務(wù)器到反病毒的所有東西����。如果有應(yīng)用層的防火墻的加入將會極大地幫助探測和緩解網(wǎng)絡(luò)攻擊�。由于沒有Fail2Ban安裝所以沒有入侵檢測功能。
所有這些問題都得讓群暉來解決�,因為無論是DiskStation 還是 RackStation都不再是一個簡單的NAS。他們是比微軟的SMB更復(fù)雜更強大的全面型服務(wù)器���。當群暉從“只是一個文件服務(wù)器”成長為“完整的網(wǎng)絡(luò)存儲組件”�����,他就迫切地需要有入侵探測功能����。
不過�����,我們抓著一個公司不放要求他作過多的要求也不太好,畢竟也沒有幾個SMB NAS廠商做到了這些�����,但最終都可能會栽在這上頭���。隨便找?guī)讉NAS就能看到一系列的漏洞��,這些廠商想為更多的人做更多的事情就得解決這些問題����。
共有的責任
安全是共有的責任���。首先����,群暉當然得為過于自信代碼的安全性造成的后果去面壁���,當然�����,成千上萬的系統(tǒng)管理員和終端用戶也得為自己過分信任別人產(chǎn)品的安全性得到教訓�����。
像群會這樣規(guī)模的公司有時候還會有安全性問題�����,許多還相當嚴重����。微軟在Windows XP平臺上災(zāi)難性病毒的啟示過后花了數(shù)十年的時間來重塑自己“安全第一”的公司形象���,但是還是有不少安全性問題�����。如果想經(jīng)過幾秒的配置就把設(shè)備安全的連接到互聯(lián)網(wǎng)這仍是個大問題�����。
一些公司投入大量資金開始在物聯(lián)網(wǎng)方向?qū)で蠼鉀Q方案�,但是還是又不少問題�。自動化深度安全防御的實現(xiàn)并不容易實現(xiàn)����,使用任何供應(yīng)商的產(chǎn)品時仍需要我們自己開通腦筋���。
作為系統(tǒng)管理員我們要對任何產(chǎn)品���、任何應(yīng)用、任何服務(wù)的安全性持有懷疑態(tài)度����。我們的工作就是盡可能多的熟悉我們部署的產(chǎn)品從而盡可能的保證系統(tǒng)安全運行。
在今天的家電和物聯(lián)網(wǎng)世界����,你不僅需要防火墻、代理服務(wù)器��、軟件層的網(wǎng)關(guān)和入侵檢測系統(tǒng)��,而且比什么時候都強烈的需要���。安全主要的責任仍是系統(tǒng)管理員的責任�����,因為他是供應(yīng)商���。
群暉的反應(yīng)
除了以上提到的措施��,為了盡可能保證情況不再出現(xiàn)���,群暉聽取了來自社交媒體上用戶的聲音,
對今天的環(huán)境來說��,IPv4的世界我尚且可以躲在防火墻的背后���,但是群暉的一大部分功能都在強化網(wǎng)絡(luò)遠程訪問文件的功能���。IPv6將會使得更多聯(lián)網(wǎng)的設(shè)備都可以被公開尋址���,這些威脅都是群暉需要解決的問題����。
有鑒于此�,我暫沒有把群暉釘在十字架上的打算。當前的情況的處理對群暉來說至關(guān)重要�,處理是否得當決定了它的長期生命力�,尤其關(guān)系到了它在往高端企業(yè)級市場突進的成敗�����。
更新
群暉針對SynoLocker提供的更新中是這么說的:
據(jù)我們觀察���,這一問題主要影響到了老版本的DSM((DSM 4.3-3810 或者更早)����,當中的漏洞在13年十二月份的時候就已經(jīng)修補過了����,在我們最新的DSM 5.0中并沒有發(fā)現(xiàn)這一漏洞。
對于正在使用DSM 4.3-3810 或者更老版本的客戶��,如果遇到以下狀況����,我們建議你關(guān)掉系統(tǒng)并且聯(lián)系我們的技術(shù)團隊。
https://myds.synology.com/support/support_form.php.
· · 登陸DSM的時候彈出已被加密并且要求付費來解鎖數(shù)據(jù)的提示框�。
· · 有名為“synosync”的進程在運行。
· · 安裝的是DSM 4.3-3810及以前的版本�����,但是系統(tǒng)提示這是最新的版本。
對于沒有遇到上述狀況的用戶���,我們強烈建議你升級到DSM 5.0以及以上的版本:
· · DSM 4.3的用戶請安裝DSM 4.3-3827 及以上版本��。
· · DSM 4.1或者DSM 4.2的用戶請安裝DSM 4.2-3243及以上版本���。
· · DSM 4.0的用戶請安裝DSM 4.0-2259及以上版本。
DSM的升級方法是找到Control Panel > DSM Update�����,用戶也可以手動下載安裝最新版本�,地址是https://www.synology.com/support/download.
