最近群暉用戶數(shù)據(jù)遭惡意加密事件為廣大的NAS行業(yè)廠商提了個(gè)醒�����,售賣無(wú)人監(jiān)管的系統(tǒng)是一件多么危險(xiǎn)的事兒�����。
有媒體報(bào)道稱,群暉的NAS遭受了名為Synolocker 的攻擊�����,它是Cryptolocker的變種病毒����,與Cryptolocker功能類似,可以加密你的數(shù)據(jù)���,需要秘鑰才能解鎖那些數(shù)據(jù)��。
怎么回事兒?怎么辦?
問(wèn)題出在系統(tǒng)的設(shè)計(jì)上�����,群暉推薦的配置可以讓黑客接觸到面相網(wǎng)絡(luò)的群暉NAS�,從而安裝惡意軟件導(dǎo)致悲劇發(fā)生�����。
據(jù)我所知����,群暉正打算加入雙重驗(yàn)證�����,除此之外還有別的措施���。
所有的“root”和“admin”賬戶的密碼都要重新更改一下,這個(gè)在管理界面就可以很容易做到����。理想情況下,如果管理頁(yè)面需要被暴露出來(lái)�,也應(yīng)該有相應(yīng)的選項(xiàng)只讓沒(méi)有特殊權(quán)限的用戶來(lái)訪問(wèn)。
群暉不應(yīng)該讓那么多應(yīng)用跑在一個(gè)網(wǎng)絡(luò)服務(wù)器上��,更別說(shuō)同一個(gè)端口上了���。如果確實(shí)需要暴漏到互聯(lián)網(wǎng)上,也應(yīng)該可以做到單獨(dú)的暴露�,并且不暴露管理界面。
關(guān)于這事兒我也跟群暉的人聯(lián)系過(guò)�����,也提出了如下部分建議。如果他們想要盡快的解決問(wèn)題�,必須進(jìn)行事關(guān)重大的、花費(fèi)巨大的安全策略研究��。
1.內(nèi)部立即進(jìn)行全面的安全審計(jì)��,包括所有的更新包和核心DSM���。
2.對(duì)DSM管理頁(yè)面和DSM核心組件�����、協(xié)議等暴露到網(wǎng)絡(luò)的部分進(jìn)行外部安全審計(jì)����。
3.從安全的角度出發(fā)重寫推薦配置��。
4.在新的安全更新在被提交之前創(chuàng)建一個(gè)變更管理流程��。
可以的話����,我覺(jué)得群暉最好還是跟防火墻廠商合作來(lái)為NAS提供應(yīng)用層網(wǎng)關(guān)級(jí)防火墻,但是代價(jià)還是相當(dāng)昂貴���。雖然最近的安全問(wèn)題挺多�����,但是我比較喜歡群暉的產(chǎn)品也還將會(huì)繼續(xù)使用�����,我期待他們的產(chǎn)品可以提供更深層次的防護(hù)手段��,盡管最終還是讓我們這些消費(fèi)者來(lái)買單�。
NAS之外
群暉的NAS不只是簡(jiǎn)單的做做文件共享或者是塊存儲(chǔ)就完事兒了,它可以提供從郵件到LDAP服務(wù)器�、網(wǎng)絡(luò)服務(wù)器到反病毒的所有東西。如果有應(yīng)用層的防火墻的加入將會(huì)極大地幫助探測(cè)和緩解網(wǎng)絡(luò)攻擊�����。由于沒(méi)有Fail2Ban安裝所以沒(méi)有入侵檢測(cè)功能�。
所有這些問(wèn)題都得讓群暉來(lái)解決,因?yàn)闊o(wú)論是DiskStation 還是 RackStation都不再是一個(gè)簡(jiǎn)單的NAS����。他們是比微軟的SMB更復(fù)雜更強(qiáng)大的全面型服務(wù)器�����。當(dāng)群暉從“只是一個(gè)文件服務(wù)器”成長(zhǎng)為“完整的網(wǎng)絡(luò)存儲(chǔ)組件”,他就迫切地需要有入侵探測(cè)功能����。
不過(guò),我們抓著一個(gè)公司不放要求他作過(guò)多的要求也不太好�,畢竟也沒(méi)有幾個(gè)SMB NAS廠商做到了這些,但最終都可能會(huì)栽在這上頭��。隨便找?guī)讉(gè)NAS就能看到一系列的漏洞����,這些廠商想為更多的人做更多的事情就得解決這些問(wèn)題。
共有的責(zé)任
安全是共有的責(zé)任���。首先��,群暉當(dāng)然得為過(guò)于自信代碼的安全性造成的后果去面壁�����,當(dāng)然��,成千上萬(wàn)的系統(tǒng)管理員和終端用戶也得為自己過(guò)分信任別人產(chǎn)品的安全性得到教訓(xùn)�����。
像群會(huì)這樣規(guī)模的公司有時(shí)候還會(huì)有安全性問(wèn)題�,許多還相當(dāng)嚴(yán)重。微軟在Windows XP平臺(tái)上災(zāi)難性病毒的啟示過(guò)后花了數(shù)十年的時(shí)間來(lái)重塑自己“安全第一”的公司形象�����,但是還是有不少安全性問(wèn)題�����。如果想經(jīng)過(guò)幾秒的配置就把設(shè)備安全的連接到互聯(lián)網(wǎng)這仍是個(gè)大問(wèn)題�����。
一些公司投入大量資金開(kāi)始在物聯(lián)網(wǎng)方向?qū)で蠼鉀Q方案����,但是還是又不少問(wèn)題。自動(dòng)化深度安全防御的實(shí)現(xiàn)并不容易實(shí)現(xiàn)�,使用任何供應(yīng)商的產(chǎn)品時(shí)仍需要我們自己開(kāi)通腦筋。
作為系統(tǒng)管理員我們要對(duì)任何產(chǎn)品��、任何應(yīng)用、任何服務(wù)的安全性持有懷疑態(tài)度����。我們的工作就是盡可能多的熟悉我們部署的產(chǎn)品從而盡可能的保證系統(tǒng)安全運(yùn)行�。
在今天的家電和物聯(lián)網(wǎng)世界,你不僅需要防火墻���、代理服務(wù)器�����、軟件層的網(wǎng)關(guān)和入侵檢測(cè)系統(tǒng)��,而且比什么時(shí)候都強(qiáng)烈的需要���。安全主要的責(zé)任仍是系統(tǒng)管理員的責(zé)任,因?yàn)樗枪⿷?yīng)商��。
群暉的反應(yīng)
除了以上提到的措施�����,為了盡可能保證情況不再出現(xiàn)��,群暉聽(tīng)取了來(lái)自社交媒體上用戶的聲音,
對(duì)今天的環(huán)境來(lái)說(shuō)�,IPv4的世界我尚且可以躲在防火墻的背后,但是群暉的一大部分功能都在強(qiáng)化網(wǎng)絡(luò)遠(yuǎn)程訪問(wèn)文件的功能�����。IPv6將會(huì)使得更多聯(lián)網(wǎng)的設(shè)備都可以被公開(kāi)尋址��,這些威脅都是群暉需要解決的問(wèn)題����。
有鑒于此,我暫沒(méi)有把群暉釘在十字架上的打算�����。當(dāng)前的情況的處理對(duì)群暉來(lái)說(shuō)至關(guān)重要�,處理是否得當(dāng)決定了它的長(zhǎng)期生命力,尤其關(guān)系到了它在往高端企業(yè)級(jí)市場(chǎng)突進(jìn)的成敗��。
更新
群暉針對(duì)SynoLocker提供的更新中是這么說(shuō)的:
據(jù)我們觀察�,這一問(wèn)題主要影響到了老版本的DSM((DSM 4.3-3810 或者更早),當(dāng)中的漏洞在13年十二月份的時(shí)候就已經(jīng)修補(bǔ)過(guò)了���,在我們最新的DSM 5.0中并沒(méi)有發(fā)現(xiàn)這一漏洞��。
對(duì)于正在使用DSM 4.3-3810 或者更老版本的客戶�����,如果遇到以下?tīng)顩r����,我們建議你關(guān)掉系統(tǒng)并且聯(lián)系我們的技術(shù)團(tuán)隊(duì)����。
https://myds.synology.com/support/support_form.php.
· · 登陸DSM的時(shí)候彈出已被加密并且要求付費(fèi)來(lái)解鎖數(shù)據(jù)的提示框。
· · 有名為“synosync”的進(jìn)程在運(yùn)行�����。
· · 安裝的是DSM 4.3-3810及以前的版本��,但是系統(tǒng)提示這是最新的版本�����。
對(duì)于沒(méi)有遇到上述狀況的用戶����,我們強(qiáng)烈建議你升級(jí)到DSM 5.0以及以上的版本:
· · DSM 4.3的用戶請(qǐng)安裝DSM 4.3-3827 及以上版本。
· · DSM 4.1或者DSM 4.2的用戶請(qǐng)安裝DSM 4.2-3243及以上版本。
· · DSM 4.0的用戶請(qǐng)安裝DSM 4.0-2259及以上版本�。
DSM的升級(jí)方法是找到Control Panel > DSM Update,用戶也可以手動(dòng)下載安裝最新版本����,地址是https://www.synology.com/support/download.
