群暉的數據劫持門帶來的教訓

最近群暉用戶數據遭惡意加密事件為廣大的NAS行業廠商提了個醒，售賣無人監管的系統是一件多么危險的事兒。

有媒體報道稱，群暉的NAS遭受了名為Synolocker 的攻擊，它是Cryptolocker的變種病毒，與Cryptolocker功能類似，可以加密你的數據，需要秘鑰才能解鎖那些數據。

怎么回事兒?怎么辦?

問題出在系統的設計上，群暉推薦的配置可以讓黑客接觸到面相網絡的群暉NAS，從而安裝惡意軟件導致悲劇發生。

據我所知，群暉正打算加入雙重驗證，除此之外還有別的措施。

所有的“root”和“admin”賬戶的密碼都要重新更改一下，這個在管理界面就可以很容易做到。理想情況下，如果管理頁面需要被暴露出來，也應該有相應的選項只讓沒有特殊權限的用戶來訪問。

群暉不應該讓那么多應用跑在一個網絡服務器上，更別說同一個端口上了。如果確實需要暴漏到互聯網上，也應該可以做到單獨的暴露，并且不暴露管理界面。

關于這事兒我也跟群暉的人聯系過，也提出了如下部分建議。如果他們想要盡快的解決問題，必須進行事關重大的、花費巨大的安全策略研究。

1.內部立即進行全面的安全審計，包括所有的更新包和核心DSM。

2.對DSM管理頁面和DSM核心組件、協議等暴露到網絡的部分進行外部安全審計。

3.從安全的角度出發重寫推薦配置。

4.在新的安全更新在被提交之前創建一個變更管理流程。

可以的話，我覺得群暉最好還是跟防火墻廠商合作來為NAS提供應用層網關級防火墻，但是代價還是相當昂貴。雖然最近的安全問題挺多，但是我比較喜歡群暉的產品也還將會繼續使用，我期待他們的產品可以提供更深層次的防護手段，盡管最終還是讓我們這些消費者來買單。

NAS之外

群暉的NAS不只是簡單的做做文件共享或者是塊存儲就完事兒了，它可以提供從郵件到LDAP服務器、網絡服務器到反病毒的所有東西。如果有應用層的防火墻的加入將會極大地幫助探測和緩解網絡攻擊。由于沒有Fail2Ban安裝所以沒有入侵檢測功能。

所有這些問題都得讓群暉來解決，因為無論是DiskStation 還是 RackStation都不再是一個簡單的NAS。他們是比微軟的SMB更復雜更強大的全面型服務器。當群暉從“只是一個文件服務器”成長為“完整的網絡存儲組件”，他就迫切地需要有入侵探測功能。

不過，我們抓著一個公司不放要求他作過多的要求也不太好，畢竟也沒有幾個SMB NAS廠商做到了這些，但最終都可能會栽在這上頭。隨便找幾個NAS就能看到一系列的漏洞，這些廠商想為更多的人做更多的事情就得解決這些問題。

共有的責任

安全是共有的責任。首先，群暉當然得為過于自信代碼的安全性造成的后果去面壁，當然，成千上萬的系統管理員和終端用戶也得為自己過分信任別人產品的安全性得到教訓。

像群會這樣規模的公司有時候還會有安全性問題，許多還相當嚴重。微軟在Windows XP平臺上災難性病毒的啟示過后花了數十年的時間來重塑自己“安全第一”的公司形象，但是還是有不少安全性問題。如果想經過幾秒的配置就把設備安全的連接到互聯網這仍是個大問題。

一些公司投入大量資金開始在物聯網方向尋求解決方案，但是還是又不少問題。自動化深度安全防御的實現并不容易實現，使用任何供應商的產品時仍需要我們自己開通腦筋。

作為系統管理員我們要對任何產品、任何應用、任何服務的安全性持有懷疑態度。我們的工作就是盡可能多的熟悉我們部署的產品從而盡可能的保證系統安全運行。

在今天的家電和物聯網世界，你不僅需要防火墻、代理服務器、軟件層的網關和入侵檢測系統，而且比什么時候都強烈的需要。安全主要的責任仍是系統管理員的責任，因為他是供應商。

群暉的反應

除了以上提到的措施，為了盡可能保證情況不再出現，群暉聽取了來自社交媒體上用戶的聲音，

對今天的環境來說，IPv4的世界我尚且可以躲在防火墻的背后，但是群暉的一大部分功能都在強化網絡遠程訪問文件的功能。IPv6將會使得更多聯網的設備都可以被公開尋址，這些威脅都是群暉需要解決的問題。

有鑒于此，我暫沒有把群暉釘在十字架上的打算。當前的情況的處理對群暉來說至關重要，處理是否得當決定了它的長期生命力，尤其關系到了它在往高端企業級市場突進的成敗。

更新

群暉針對SynoLocker提供的更新中是這么說的:

據我們觀察，這一問題主要影響到了老版本的DSM((DSM 4.3-3810 或者更早)，當中的漏洞在13年十二月份的時候就已經修補過了，在我們最新的DSM 5.0中并沒有發現這一漏洞。

對于正在使用DSM 4.3-3810 或者更老版本的客戶，如果遇到以下狀況，我們建議你關掉系統并且聯系我們的技術團隊。

https://myds.synology.com/support/support_form.php.

· · 登陸DSM的時候彈出已被加密并且要求付費來解鎖數據的提示框。

· · 有名為“synosync”的進程在運行。

· · 安裝的是DSM 4.3-3810及以前的版本，但是系統提示這是最新的版本。

對于沒有遇到上述狀況的用戶，我們強烈建議你升級到DSM 5.0以及以上的版本：

· · DSM 4.3的用戶請安裝DSM 4.3-3827 及以上版本。

· · DSM 4.1或者DSM 4.2的用戶請安裝DSM 4.2-3243及以上版本。

· · DSM 4.0的用戶請安裝DSM 4.0-2259及以上版本。

DSM的升級方法是找到Control Panel > DSM Update，用戶也可以手動下載安裝最新版本，地址是http://www.synology.com/support/download.