Attacco ransomware: mi hanno criptato il Nas (qnap)

[stefano_mbp]

4 minuti fa, Capotasto ha scritto:

per una nuova architettura?

… più che nuova diversa … io uso un nuc8i3 con Ubuntu Desktop sul quale ho installato Minimserver che legge due hdd collegati in usb e condivisi sulla rete, per me una soluzione più semplice del nas e facile da gestire, ho sempre visto i nas come il fumo negli occhi soprattutto perché non so gestirli …

Ma il tema resta lo stesso: tenere costantemente aggiornato tutto il sw/fw e fare i backup.

Mentre ascolto musica, una volta a settimana mi connetto con l’iPad al Nuc usando TeamViewer e controllo gli aggiornamenti e ogni volta che aggiungo album o ne modifico i tag faccio subito un backup.

Per il backup adotto questa strategia:

• ho una copia Master dove inserisco e/o modifico gli album
• copio tutto in maniera incrementale sugli hdd “in produzione” ovvero quelli visti da Minimserver
• effettuo una seconda copia di backup, sempre incrementale, su altri hdd sempre mantenuti off-line

Ho quindi tre copie di tutto … che mi costano una decina di minuti ogni volta ma mi sento relativamente “tranquillo”.

I nas sono computer a tutti gli effetti e come tali dovrebbero essere gestiti e mantenuti.

[massimojk]

1 ora fa, Capotasto ha scritto:

sapeva benissimo che i loro NAS avevano dei bachi, ma ci hanno messo una pezza solo di recente,

 

cosa grave molte grave. Tutto subiscono attacchi ma ci si affida a un leader di settore con la speranza di vivere sonni tranquilli. Del resto chi utilizza un nas lo fa oltre che per le politiche di mirroring anche e soprattutto per accedere ai propri documenti al di fuori della rete domestica. Uso il nas da 15 anni almeno ma visto che considero sempre ogni possibile catastrofe consiglio sempre di fare il backup su almeno due hd off line. 

 

Detto questo spero che si limitino solo a bloccare i file piuttosto che andare a scandagliare ed usare in modo improprio i dati contenuti sul nas...improbabile ma in detto caso sarebbero dolori

[Simonef]

22 minuti fa, massimojk ha scritto:

e soprattutto per accedere ai propri documenti al di fuori della rete domestica.

Per questo esistono i servizi cloud.

C'è una grossa differenza tra connettere a internet un NAS (per aggiornamenti etc) ed esporre il NAS in ascolto su rete esterna (per accedervi da remoto). Nel primo caso non può succedere nulla di male, nel secondo è come aprire le porte di casa e scrivere all' ingresso "entrate pure".

Personalmente, se ci sono in ballo i miei file mai e poi mai andrei sulla fiducia sperando che non ci siano bug nel codice scritto da altri e closed source, piuttosto mi affido a soluzioni open source, dove il codice è revisionabile da chiunque (e quindi spesso e volentieri molto più sicuro). Se proprio voglio usare un soluzione già fatta tipo QNAP o Synology il collegamento remoto lo faccio SEMPRE e comunque tramite VPN (cosa che sia QNAP e Synology supportano) in modo tale da non esporre alla mercè di chiunque l' accesso alla mia rete di casa.

Nessun software è esente da bug, nessuno, ma con il buon senso si possono evitare gravi ripercussioni spiacevoli.

[massimojk]

37 minuti fa, Simonef ha scritto:

Per questo esistono i servizi cloud

 

converrai che chi acquista un nas è proprio per evitare di utilizzare degli storage privati. Le foto, i vide, i documenti sono miei e non vado certo ad allocarli su servizi cloud di terzi. 

39 minuti fa, Simonef ha scritto:

nel secondo è come aprire le porte di casa e scrivere all' ingresso "entrate pure".

 

anche in questo non mi trovi molto concorde visto che se hai un router con dispositivi collegati tutti questi potrebbero subire una violazione. Insomma ci vuole la dovuta attenzione

40 minuti fa, Simonef ha scritto:

o faccio SEMPRE e comunque tramite VPN

 

questi si assolutamente si

[stefano_mbp]

2 minuti fa, massimojk ha scritto:

Le foto, i vide, i documenti sono miei e non vado certo ad allocarli su servizi cloud di terzi

… pensa che ormai moltissime aziende, di qualsiasi dimensione, multinazionali e non, usano i servizi di cloud anche per le proprie applicazioni, e quindi anche per i dati, documenti a quant’altro … questo accade per questioni legate a costi e sicurezza (falò a parte, cosa che mi lascia ancora molto perplesso).

Ritengo il Cloud il futuro, neanche troppo remoto, per tutti noi il cui unico limite è per ora la disponibilità di banda, ma il 5G e successivi daranno una bella spallata …

[Simonef]

1 ora fa, massimojk ha scritto:

tutti questi potrebbero subire una violazione

In realtà no perché nessun dispositivo di base rimane in ascolto su una porta chiedendo portforwarding al router (tipicamente via upnp).

 

1 ora fa, massimojk ha scritto:

Le foto, i vide, i documenti sono miei e non vado certo ad allocarli su servizi cloud di terzi. 

Mi trovo d'accordo, ecco perché mi son affittato un server dedicato in un datacenter con banda illimitata e me lo son fatto con Nextcloud (opensource), pago comunque meno di un qualsiasi servizio Cloud a parità di storage.

 

1 ora fa, stefano_mbp ha scritto:

questo accade per questioni legate a costi e sicurezza

Costi e basta, perché potrebbero tranquillamente invece che tenere l'infrastruttura informatica in-house tenerla affittando spazio in un datacenter, ma poi ci sarebbe la questione costo per assumere dei system administrators. Se metti dati sensibili sui computer di qualcun altro senza averne il controllo non lo fai di certo per la sicurezza....

[stefano_mbp]

6 minuti fa, Simonef ha scritto:

controllo non lo fai di certo per la sicurezza....

… perché la sicurezza è anch’essa un costo … 

[max]

 dati ''seri'' e/o ''personali'' andrebbero tenuti su  rete ''interna'' se non c'è la necessità di accedervi da remoto .... possono bucare quasi tutto se vogliono ma tenere dati sensibili su una nas ''consumer'' usata anche per distribuire servizi intenet senza almeno un firewall serio a monte diciamo che  non è proprio il massimo 

[naim]

4 ore fa, Simonef ha scritto:

C'è una grossa differenza tra connettere a internet un NAS (per aggiornamenti etc) ed esporre il NAS in ascolto su rete esterna (per accedervi da remoto). Nel primo caso non può succedere nulla di male, nel secondo è come aprire le porte di casa e scrivere all' ingresso "entrate pure".

Io devo comprendere bene questo punto.

Il mio Qnap è in rete, ma funge solo da contenitore della libreria musicale. Contiene solo flac, ed internet serve solo per aggiornare firmware e antivirus. Se scarico musica lo faccio sul pc, e la copio sul NAS in un secondo momento. Sul NAS ho solamente sette App installate (di utility e sicurezza) e tutte di provenienza Qnap, inoltre myQnapcloud è disattivato.

Sono in una condizione di basso rischio?   

[Simonef]

@naim Così non dovresti rischiare nulla. Provo a semplificare il concetto così da chiarirlo meglio:

La comunicazione internet avviene attraverso delle porte le quali possono essere aperte o chiuse. Ad esempio questo stesso forum e thread possiamo navigarli perchè il server che rende disponibile questo forum ha aperta la porta 443 in modo tale da essere raggiungibile. Infatti se tu nella barra degli indirizzi dove c'è scritto melius.club/topic/ etc etc vai a modificare l'indirizzo inserendo ":443" dopo "club", quindi melius.club:443/topic/ etc ti caricherà esattamente questa pagina.

 

Ora quando il NAS deve scaricare aggiornamenti ad esempio, non ha bisogno di aprire le porte a cui è collegato perchè va a connettersi direttamente ai server di QNAP o Synology che sia.

Se invece hai attivo l'accesso remoto deve aprire una porta e rimanere in ascolto in modo tale da essere raggiungibile da te.

 

In generale: se stai richiedendo attivamente una risorsa (es. aggiornamento) le porte rimangono chiuse e nessun ruschio;

se invece stai aspettando passivamente di essere raggiunto per fornire una risorsa (ad esempio vuoi vedere delle foto da remoto) allora deve aprire le porte per essere raggiungibile,e quindi è uno scenario più a rischio.

 

Dimmi se è tutto comprensibile 😅

[naim]

1 ora fa, Simonef ha scritto:

Dimmi se è tutto comprensibile 😅

Direi di si, grazie. In pratica chi riceve ''visita'' è perché lascia il cancello di casa spalancato. 

[alberto75]

buongiorno,

ci sono anche altri fattori da considerare

1) tenere le apparecchiature sempre aggiornate con gli update di sicurezza

2) impostare sul router un firewalll quando previsto per limitare il traffico al minimo indispensabile

3) come dicevate in precedenza a meno di esigenze particolari NON lasciare aperte porte ed accessi da remoto

4) ci sono apparecchi (magari vecchi) che sono più facilmente accessibili, a volte gli hacker conoscono degli exploit che sono specifici di alcuni dispositivi/software che obsoleti o non aggiornati sono facilmente bucabili

5) poi ci sono come nel caso di Qnap che pur conoscendo questi problemi non ha affrontato la cosa (evidentemente per ragioni commerciali) dimostrando solo che hai comprato un dispositivo che poi seppur buono non è stato supportato per renderlo sicuro ed al passo con i rischi che si possono correre di questi tempi

[massimojk]

@stefano_mbp concordo con quanto affermi ma nel piccolo caso preferisco pagare un costo maggiore per mantenere la proprietà dei miei dati. Poi che il cloud rappresenti il futuro non ci piove ma se può starmi bene di utilizzare applicazioni che risiedono su cloud proprio non gradisco che le mie foto, i miei documenti risedano su di un disco nel quale non sono io l'amministratore.

 

[cactus_atomo]

Cominciamo  col dire che pagare il riscatto in pochi giorni è con criptovalute non è cosa immediata per tutti, e poi non esiste garanzia che pagato il riscatto si ottengano i codici di decrittazione. 

Sistemi on line sicuri aal 100 per 100 non esistono, se si vuole sicurezza ragionevole serve un backup meglio due non in rete e custoditi in luoghi diversi. Oggi i eseguibili per comodità stanno ovunque, anche nelle macro di excel. E in prospettiva i cloud sono più a rischio, perché gli hacker su loro si concentreranno anche perché chi li gestisce preferirà pagare piuttosto che si sappia che il sistema è stato violato. 

Meglio pensare al backup che a cambiare dac

[Bibolo78]

comunque negli ultimi tempi escono aggiornamenti della qts (sistema operativo di qnap) praticamente ogni giorno per risolvere il problema di questi attacchi, come già detto da altri il problema nasce dal fatto che hai il nas raggiungibile dalla rete, se fosse invece usato solo per fare servizio sulla lan locale il problema non ci sarebbe. giustamente è una caratteristica del nas che è diventata anche una vulnerabilità, oltre che uan grandissima seccatura. il fatto di avere backup locali ti salva soltanto dalla perdita e quindi devi avere backup 1:1