Mein kleiner Blog | Wer die Freiheit aufgibt, um Sicherheit zu gewinnen, wird am Ende beides verlieren. (Benjamin Franklin)

Synology NAS und SynoLocker

Veröffentlicht am 5. August 2014 von Markus

synology_logo Wie heise online berichtet, befindet sich derzeit ein Schädling im Umlauf, der gezielt die NAS-Geräte der Firma Synology attackiert. Der auf den Namen “SynoLocker” getaufte Schädling befällt das verwundbare System und verschlüsselt die vorhandenen Daten auf dem Gerät. Nach Zahlung von 0,6 Bitcoin (entsprcht in etwa 270 €) sollen angeblich die Daten wieder hergestellt werden. Der digitale Erpresserbrief erscheint auf der Admin-Seite des NAS. Er enthält zahlreiche Details zur technischen Umsetzung der Verschlüsselung.

Derzeit ist noch völlig unklar auf welchem Weg die Geräte infiziert werden und welche Dienste betroffen sind. Weiterhin ist offen, welche Versionen von DSM (dem Betriebssystem von Synology) verwundbar sind. Eine offizielle Stellungsnahme von Synology steht aktuell noch aus. Vermutet wird eine Sicherheitslücke in der Firmware der betroffenenen Geräte.

Solange Details über die Infizierung und wie man sich schützen kann noch ausstehen, wird meine Synology vorübergehend vom Netz getrennt, und die von mir genutzen Dienste nur lokal bereitgestellt. Im offiziellen Forum von Synology wird über das Thema bereits rege diskutiert.

Hoffnungsloses Unterfangen Baikal und Raspberry

Veröffentlicht am 3. August 2014 von Markus

owncloud1-d91a1508b8c91b24 Ich habe mittlerweile den Versuch aufgegeben Baikal auf dem Raspberry als CardDAV,- CalDAV – Server laufen zu lassen. Obwohl etliche Pakete nachinstalliert werden, und Rechte angepasst werden mussten war die Installation mit dem Flat-Paket zu bewerkstelligen. Trotzdem musste ich aber auf “externe” Hilfe zurückgreifen um einen vhost zu erstellen und um ein paar Detailfragen zu klären.

Danke nochmal an Robert von ddnss.de. Beim einbinden der Kalender in Thunderbird, geschweige auf den mobilen Devices bin ich aber grandios gescheitert. Ich habe sämtliche Pfadangaben rauf und runter durchprobiert. Und das stundenlang. Ich bin dadurch auch ein wenig genervt, weil es auf meiner Synology und bei meinem Hoster auf Anhieb geklappt hat. Im übrigen hat auch nicht jeder Informatik studiert. Manche Sachen sollten einfach stabil laufen ohne eine Bastellösung zu sein. Und das Argument, daß mit Google-Sync und Android ja alles einfach funktioniert, lasse ich in diesen Zeiten nicht gelten. Nicht jeder will seine Termine und Kontakte in der Cloud speichern. Da ich schon erwähnt habe daß ein funktionierender Kalender persönlich wichtig für mich ist, habe ich notgedrungen owncloud 7.0.0 installiert. Auch weil ich ein Fan von “dedizierter” Hardware bin und mein Raspberry sonst ja keinen Verwendungszweck mehr hätte. Ein paar kleinere Sachen stehen noch an, aber zumindest sind die Kalender schon in Thunderbird eingerichtet, und die Synchronisation mit meinen mobilen Endgeräten funktioniert auch über SSL. Im Zuge der Neuinstallation habe ich auch auf den kompakteren nginx mit MySQL statt Apache mit Sqlite gesetzt. Und das obwohl ich nach wie vor der Meinung bin, daß dieses Szenario für meine Bedürfnise absolut übertrieben ist. Sollte jemand erfolgreich Baikal auf dem Raspberry installiert und mit funktionierender Synchronsisation im Einsatz haben freue ich mich über Feedback.

Synology DSM 5.0-4493 Update 3

Veröffentlicht am 29. Juli 2014 von Markus

Antworten

Besitzer eines Synology NAS sollten einmal einen Blick in die Administrationsoberfläche des DiskStation Managers werfen, denn ein Update steht bereit. Das Update auf die Version 5.0-4493 Update 3 (veröffentlicht am 24.07.2014) sollte auf jeden Fall von euch installiert werden, denn das Update schließt Sicherheitslücken. Die zwei Sicherheitslücken werden unter CVE-2014-0244 und CVE-2014-3493 geführt und betreffen das Samba-Protokoll. Entfernte Angreifer könnten auf nicht gepatchte Synology Network Attached Storages DoS-Attacken ausführen. Ferner behebt das Update den Fehler, dass sich Nutzer nach der Fertigstellung des QuickConnect Wizards nicht mehr anmelden konnten.
Dem Changelog ist hierzu folgendes zu entnehmen:

Improvements

Improved the stability of volume expansion.

Fixed Issues

Fixed two SAMBA vulnerabilities which allowed remote attackers to use the weaknesses to perform DoS attacks (CVE-2014-0244, CVE-2014-3493).
Fixed an issue which prevented users from being able to log into DSM after completing QuickConnect Wizard after a fresh DSM installation.
Fixed an issue causing slow response time in DSM on the early version of RS10613xs+ when too many concurrent connections were active.

owncloud und Alternativen

Veröffentlicht am 27. Juli 2014 von Markus

Nach einer Laufzeit von 126 Tagen ohne Ausfälle oder Probleme hat nun meine Owncloudinstallation auf meinem Raspberry die Grätsche gemacht. Ich vermute beim kurz zuvor durchgeführten Paketupdate mit Webmin ist irgendwas gehörig daneben gegangen. Das verwunderliche war, daß meine Demo-Homepage und Raspcontrol ohne weiteres liefen, und auch der Zugriff auf selbiges möglich war.

Für eine tiefergehende Analyse fehlt mir das Wissen und auch ein wenig die Motivation.
Da ich nie so richtig mit owncloud warm geworden bin, war dies der ideale Zeitpunkt um mich nach Alternativen umzusehen. Mir ist eigentlich nur CardDAV und CalDAV wichtig, zum synchronisieren meiner Daten benutze ich den Synology-eigenen Dienst “Cloudstation”.

Nach einer kurzen Recherche habe ich mich für Baïkal entschieden.
Leider habe ich es nicht geschafft den Server auf dem Raspberry zu installieren.
Da für mich persönlich aber ein funktionierender Kalender wichtig ist, habe ich kurz entschlossen die Applikation auf der Synology installiert.
Die Installation mit dem Flat-Package hat auf Anhieb geklappt. Vorher war nur noch notwendig die Setuproutine mit einer leeren Datei namens “ENABLE_INSTALL” -angelegt im /Specific-Ordner- freizuschalten.Nach der abgeschlossenen browsergeführten Installation müssen noch Benutzer und dazugehörige Kalender angelegt werden. Dank der recht übersichtlich gehaltenen Weboberfäche ist das schnell erledigt.
Mit dem Pfad “http(s)://”webadresse”/cal.php/calendars/”Benutzer”/”Kalendername” habe ich den Kalender in Thunderbird integriert. Ich konnte Termine anlegen, bearbeiten und auch wieder löschen. Sämtliche Änderungen sind sofort am Server angekommen. Dann wollte ich noch ein vorhandenes Backup des “alten” Kalenders über Thunderbird importieren. Nach etwa 4 Minuten war das erledigt. Die Weboberfläche von Baïkal meldete mir das jedensfalls. Thunderbird zeigt die Termine der importierten ics-Datei aber nicht an. Egal welche Farbe, Pfad neu angelegt… es half alles nichts. Aus lauter Verzweiflung habe ich sogar Baïkal von Grund auf neu installiert. Es blieb dabei… der Import funktionierte, doch die Termine blieben unsichtbar. Nach durchspielen aller möglichen und unmöglichen Einstellungen habe ich “SPDY” bei der Synology deaktiviert, und bei Baïkal “WebDAV authentication type” auf “Basic” geändert. Die Termine wurden damit in aller Farbenpracht bei Thunderbird angezeigt, wie wenn nie was anderes gewesen wäre.
Das hat mich aber vier Stunden gekostet. Auch weil es alles andere als naheliegend ist – zumindest in meinen Augen nicht.

Zitat von heise.de

Veröffentlicht am 22. Juli 2014 von Markus

Antworten

Auf heise online wurde ein kurzes -aber interessantes- Statement von Sabine Leutheusser-Schnarrenberger bezüglich der jüngsten NSA-Enthüllungen veröffentlicht.

Zitat:
Nach dem weiteren BND-Skandal, dass ein Mitarbeiter BND Informationen an einen amerikanischen Geheimdienst verkauft hat, muss es ganz grundsätzliche Konsequenzen geben. Es ist nicht nur hilflos, sondern eine unverantwortliche Verharmlosung, sich auf das Flehen nach Aufklärung an die amerikanische Regierung und Institutionen zu beschränken und darauf zu hoffen, dass die Bürger und die Medien schnell wieder vergessen werden.
Die amerikanische Regierung nimmt bewusst eine dauerhafte, tiefgehende Beschädigung der deutsch-amerikanischen Beziehungen in Kauf. Diese ist längst eingetreten.
In dieser Situation ist ein Cyberdialog zwischen Deutschland und den USA eine absolute Farce. Die Bundesregierung macht sich lächerlich. Die Bundesregierung muss deshalb sofort diese Alibi-Veranstaltung abbrechen. Genauso sind jetzt endlich alle Übereinkommen mit den USA auszusetzen, die den Datenaustausch zum Inhalt haben. Die Bundesregierung muss sofort bei der EU-Kommission die Aussetzung der PNR- und Swift-Abkommen beantragen. Die TTIP-Verhandlungen sind zu unterbrechen, denn es gibt dafür keinerlei Vertrauensbasis mehr.
Jetzt muss die Bundesregierung endlich handeln. Personelle Konsequenzen werden folgen müssen. Die Bundesregierung sollte endlich aufhören, den Bürger in die Pflicht zu nehmen, selbst für seine Datensicherheit zu sorgen. Das ist nachweislich nicht möglich. Im Gegenteil hat die Bundesregierung die Verpflichtung, für sichere Kommunikation zu sorgen und endlich Vorschläge für ein Parallelnetz in Europa zu machen und voranzutreiben. Der Bürger kann sich nicht effektiv vor Ausschnüffelung der NSA schützen. Die Zeit der Verharmlosung ist vorbei.
Zitatende

Innenminister Thomas de Maizière will lt. einem anderen Artikel die deutschen Geheimdienste mit den Worten:
“wir brauchen einen 360-Grad-Blick”
wohl mit mehr Rechten und Befugnissen austatten. Damit soll wohl auch eine “offizielle” Ausspähung der US-Bürger legitimiert werden, damit der Ringtausch auch weiterhin funktioniert.