Názory k článku SynoLocker: disková pole Synology terčem vyděračů
-
Tomas Halasz (neregistrovaný)
Ze Synology mi přišel email a tam bylo:
If you have not encountered the above symptoms, we strongly recommend downloading and installing DSM 5.0, or any version below:
DSM 4.3-3827 or later
DSM 4.2-3243 or later
DSM 4.0-2259 or later
DSM 3.x or earlier is not affectedTakže verze 3.1 je podle nich nedotčena. A ostatní je potřeba aktualizovat na nejnovější verzi v dané řadě...
-
Jano (neregistrovaný)
Píšete, že lidi nezálohují svoje data - jaká je lepší možnost pro domácí podmínky, než diskové úložiště se zrcadlenými disky? Zálohovat to ještě na jeden další přenosný disk? Mám DVD-RAM, ale tam se vlezou jen ty nejdůležitější data. Páskové mechaniky jsou pro domácnosti nedostupné - vysoká cena, SCSI, ... Poraďte, rád se nechám poučit...
-
_pepak (neregistrovaný)
Disky jako médium vychází zdaleka nejlíp. Ale ono nejde ani tak o média, jako spíš o způsob práce s nimi - zrcadlení disků např. v tom Synology (nebo podobném zařízení) je fajn pro případ náhodné hardwarové poruchy, ale neřeší poruchy softwarové, tj. že vám třeba někdo ta zazálohovaná data zašifruje (nebo že vám poškodí originální soubory, které se pak v rámci synchronizace propíšou do zálohy). Určitě má smysl mít zálohovací zařízení dvě - jedno pro "živé" udržování aktuální zálohy, druhé kompletně odpojené a synchronizované jen jednou za čas ručně (např. jednou měsíčně - i kdyby došlo k nějakému napadení, tak za měsíc si toho snad všimnete a když všechny možnosti obnovy selžou, přijdete nejvýš o měsíc dat).
-
Lol Phirae (neregistrovaný)
Pokud použijete paskvil jménem Synology Hybrid RAID (SHR), tak to nikde jinde dohromady nedáte. Např. u QNAPu není problém to vrazit kamkoliv.
-
Trident (neregistrovaný)
QNAP je castecne otevreny a vyjma toho jejich klikafejsu dava ke svym modifikacim zdrojaky. I stare modely stare podporuje a pridava k nim nove funkcionality - asi spolecny strom na vyvoj.
Krom toho lze i na jejich armove krabice instalovat klasickeho debiana. Na qnap wiki je navod.
QNAP zatim pouziva MDcko takze sestaveni je otazkou prendani disku a vyhledani metadat md tooly. Synology SHR se dostava na uroven vendor specific pruserovosti stejne jako hw raid radice. Nepouzijes-li stejny radic nebo radu od toho vyrobce, tak jsi v haji.
-
Filip JirsákStříbrný podporovatelPokud to diskové úložiště se zrcadlenými disky chci používat pro zálohování, nemělo by být dostupné z internetu a mělo by se jen podle časového plánu automaticky zapnout, provést zálohování a zase se vypnout. Ale stejně je potřeba počítat s tím, že je to záloha pro případ smazání dat z PC nebo havárie disku v PC, ale neřeší to věci, které postihnou celou lokalitu (úder blesku a poškození elektroniky, povodeň, vykradení…).
-
Filip JirsákStříbrný podporovatel
Drtivá většina případů ztráty dat by se dala vyřešit specializovanou obnovou dat z disku. Ale levnější, rychlejší a spolehlivější je ta data zálohovat.
-
vaclav.sir (neregistrovaný)
Zrcadlení disků brání data pouze před poruchou disku. Mezi jiné hrozby může patřit například:
- Napadení malwarem.
- Mají k počítači přístup děti?
- Havárie v prostorách, kde jsou data fyzicky uložená.
- EMP.
- Zničíte si data sami například pod vlivem nějaké psychózy, o které ještě nevíte.Jste ochotni risknout, že o data přijdete třeba při požáru nebo po výbuchu atomové bomby? Pak vám asi stačí pár externích disků v šuplíku.
Záleží zkrátka na vašem rozhodnutí, proti kterým hrozbám chcete svá data bránit a proti kterým ne.
-
Trident (neregistrovaný)
SCSI neni dnes na doma problem. Ale ta mechanika je hodne draha. Kdysi jsem na doma pouzival DATky nez ty kapacity zacli byt smesne.
Delal jsem si kalkulaci jestli se mi vyplati poridit nejake online uloziste. Ani nahodou. Pri objemu 1-1,5TB nenahraditelnych dat (coz jsou hlavne fotky) je to tak 300-500kc za mesic. Pri cene externiho disku se mi to vrati za 10 mesicu. Pripojim,syncuju,verifikuju a rano vezmu do brasny do prace. I v pripade silneho prepeti a odejiti elektroniky vsech disku v prubehu synchronizace je mozne data na hdd obnovit pres recovery firmu s dobrou sanci na zachranu. Stale levnejsi nez online uloziste.
Nehlede na to ze ho muzu tahat s sebou a mam treba sifrovani pod kontrolou. Datovy tok co rozhrani dovolu. Naproti tomu nez prenesu pres 5-7Mbit po siti nekam do tramtarie tak to chvilku trva.
-
czz (neregistrovaný)
Dovolim si trosku nesuhlasit. Matematika sice sedi, ale velmi zalezi, co porovnavas. Napriklad aky spolahlivy je jeden disk? Pre porovnanie Amazon Glacier by mal mat 99.999999999%/rok spolahlivost. Takisto jeden disk uz z definicie nemoze mat data rozlozene na viacerych lokalitach.
Povedzme, ze sa bavime nie o jednom, ale troch diskoch aby sme si polepsili co sa tyka spolahlivosti. Okrem extra logistickych problemov (kam dame disky ak ma byt kazdy inde?) sa nam navysuje aj cena a zrazu je to 30 mesiacov aby sa nam zaplatil HW. (ratam cisto iba disky) Zivotnost tych diskov uz zrazu zacina byt faktor, lebo v takom casovom horizonte uz zacina byt realne ze potrebujes nahradit pokazene disky. (cize sa z toho pomaly stava pausalny poplatok) Nehovoriac o cene prace ktoru s tym mame.
Tiez to porovnanie nie je uplne fer aj opacnym smerom. Napr. spominany Amazon Glacier si uctuje poplatok za obnovu dat (platis za data ktore z toho storage tahas nad nejaky limit /5% mesacne/) Cize v pripade realnej nutnosti obnovy kompletnych dat platis extra. Cize treba zvazit aj to.
Ale samozrejme velmi zalezi, co chces. Ak je jeden disk "good enough" tak tvoja matematika sedi a uplne suhlasim.
-
Zivotnost disku se vam zkracuje hlavne jeho pouzivanim. Pokud ten disk pouzivate na zalohy a pak ho odpojite, tak pravdepodobne neodejde drive, nez ho nahradite za vetsi z duvodu nedostacujici kapacity a moralni zastaralosti. Pravdepodobne tak i jen s jednim externim diskem budete mit dostatecnou zalohu, protoze pravdepodobnost soucasneho odchodu do vecnych lovist disku v PC a disku se zalohou je dost mala. Samozrejme, obcas se vyskytne situace, kdy ani tri zalohy nestaci.
-
Trident (neregistrovaný)
Momentalne jsme v dobe kdy se jedna zrejmne o anomalii, nicmene me 2TB disky ktere jsem poridi pred vice nez dvema lety se lisi od tech dnesnich cenove maximalne o 300kc. A to se fakt novy vyplati;) Hehe;)
Virtualni potopa tovaren stale trva. A vzrustajici cena dolaru tomu nepomuze.Anomalie jsou i v zivotnostech disku. Kancelarsky kepl ktery bezi ve freeneti siti od roku 2004 nepretrzite s puvodnim diskem WDC AC36400L, jez ma snad 6GB nebo kolik. Na disk se pisou statistiky a logy. Ale je fakt ze je na nekolikanasobne jistenem okruhu, za ups a v cistem prostredi bez hulicu. Zadne vibrace. Ale taky zadna klima a teploty cvici v rozmezi 10-30 stupnu.
-
Trident (neregistrovaný)
Zapomnel jsem dodat, ze zalohuji na treti disk po souborech data z domaciho raidz na zfs. Jedna se o snapshoty zmenenych souboru(nikoli tedy zfs snapshoty), pricemz jednou za x syncu je full kopie filesystemu. Na disku je hloupy ext4(pravidlo jineho fs pro zalohu+pravidlo zalohy po souborech), nebot kdo nekdy delal vic se zfs tak ze se muze take nechutne podelat.
-
Trident (neregistrovaný)
Pro me domaci pouziti staci zalohovaci schema ktere jsem zde jiz uvedl. Veskere ostatni zalezitosti ktere jsem pocital jsou zatim drahe,neflexibilni a nekontrolovatelne. Pokud se objevi neco online vyhodnejsiho tak nemam problem.
Uvedena spolehlivost je vhodna pro specificka podnikova prostredi. Ve firme treba zadne takove veci nemame a storage systemy jsou vlastni z technickych, administrativnich,pravnich(prolinani nekolika jurisdikci, obchodni tajemstvi atd.) duvodu.
Nevadilo by mi mit nizsi spolehlivost a nevadilo by mi mit take pomalou dostupnost dat. Tj. zadam request na recovery a pozadavek bude odbavovan treba az za 5 hodin. To vetsine lidi staci.
-
khostri (neregistrovaný)
používám kombinaci:
Mám 4 diskový DS410, RAID 5
Na fotky používám Flickr v privátním režimu - 1TB místa na fotky mi stačí.
A nemám tam žádné kompromitující fotky - pokud by nedej bože u Yahoo někdo nějakým způsobem získal data, tak mě v podstatě nemá na co vydírat a ani nebudu pro takového útočníka zajímavý.
Prostě to beru jako zálohu - mám na Synology puštěný script, kdy každý měsíc udělá Synchro s Flickrem včetně vytvoření příslušných alb podle složek. Do měsíce bych případné napadení zjistil, v případě havárie přijdu o měsíc fotek, ale většinou z foťáku a telefonu mažu obrázky starší než 30 dní, takže bych +- měl vše.
Ostatní důležitá data, kterých je relativně málo (tím myslím 100 GB cca) mám na synology a používám Cloudstation. Vím, že to nevypadá jako záloha, ale v podstatě k případům, kdy mám zapnutá všechna synchronizovaná zařízení (6 zařízení) najednou dochází tak 1x měsíčně. Věřím, že bych byl schopen problém identifikovat, zdravé zařízení odpojit od sychronizace a obnovit data.
Zbytek do 10 TB jsou postradatelná data - mrzela by mě, ale spíš z hlediska času, vynaloženého na jejich shromáždění. -
Khostri (neregistrovaný)
Určitě - používám toto:
https://github.com/trickortweak/flickr-uploaderv INi je kompletní nastavení, je k tomu potřeba Python.
Dále je potřeba na Flickru získat token - dělal jsem to ještě na starší verzi, kde byl problém s právy lokální složky (nechtělo mi to token uložit) a otevřením web odkazu v konzoli.Pokud si dobře pamatuji, vyřešil sjem puštěním scriptu na stolním pc, získáním tokenu, zkopírováním na Synology do photo složky a puštěním scriptu na Synology.Oba soubory se dají do hlavního adresáře s fotkami (u mě systémový photo adresář) a pustí - napoprvé ideálně v konzoli. Jakmile to proběhne ok, nic nebrání nastavení do plánovače.
-
Poznámka, že se nezálohuje, smiřuje na ty případy, kdy jsou data pouze v síťovém úložišti (a nikde jinde).
Jestliže síťové úložiště používáte pro zálohy, tak tento problém nemusí být fatální. Sice přijdete o zálohy, ale pořád máte originály, ze kterých vyrobíte novou zálohu. Samozřejmě to je obecná teorie. Jsou případy, kdy neplatí, kdy mohou nastat problémy.
Jak zálohuji já? Předně v každém počítači mám RAID 1 (notebooky) nebo RAID 5 (desktopy). Zálohuji několika způsoby dle různých potřeb: od nonstop synchronizace po řetězené obrazy disků. Data se zálohují na jeden NAS server, kde běží RAID 6. Ten se v pravidelných intervalech synchronizuje s dalším NAS serverem, kde rovněž běží RAID 6. Navíc data se šifrují a pak míří na Google Drive. Nejcennější data pak ještě archivuji na M-Disc nosiče.
-
Kalda (neregistrovaný)
V rámci Synology máte možnost zálohovat data přes internet.
Chápu, že na nějakém pomalém uploadu je to problematické, ale pokud máte "rozumný" upload, tak Synology sama o sobě nabízí nějaké možnosti (např. ukládání dat na Amazon, ElephanDrive, HiDrive, Glacier a další), dále zde jsou různé balíčky třetích (např. Crashplan)...A máte to i mimo jinou fyzickou lokalitu, kdyby nedej náhodou došlo k nějakému jinému neštěstí...
-
Trident (neregistrovaný)
Upload by ani nebyl problem. Clovek si holt pocka. A kdyz si udela sekvenci jobu od nejdulezitejsich dat po mene dulezita, tak snizuje riziko. Nejvetsi problem je ted cena vs dalsi normalni fyzicky disk. Jinak se sluzbou jako takovou bych problem nemel.
Jmenovane alternativy jsou prilis drahe proti prenosnemu disku. Navic je to zarizeni ktere mohu bez problemu velkou rychlosti synchronizovat i v opacnem smeru a nejsem omezen konektivitou.
Nez by mi kolega poslal 2giga po adsl tak jsem u nej drive na kole a zpatky s diskem a jeste udelam neco pro sve telo. -
radioing (neregistrovaný)
V domácích podmínkách to řeším takto:
1. Všechna data držím na disku prac. stroje.
2. Všechna data zálohuji na domácí NAS (tak 1 týdně, zvykl jsem si NAS vypínat).
3. Čas od času (měsíc) dělám kopii důležitých dat (neobnovitelných) z NAS na USB disk. USB disk se snažím držet v jiné lokaci, než NAS (v práci v šuplíku apod.)
4. Opravdu kritická data (cca 1GB) ukládám do cloudu popř. na flash/mobil.
Vše samozřejmě šifrované, takže v případě krádeže z toho nikdo nic nebude mít (doufám).
Času to nepožere mnoho a když člověk poleví, objeví se na rootu vždy nějaký motivační článek... -
martin (neregistrovaný)
Me by spise zajimalo jake ma kdo zkusenosti s temi updaty Synology? Nebot u kazdeho updatu se v readme doctete, ze updatem muzete prijit o vsechna data na zarizeni a ze si je proto mate vyzalohovat nekam jinam. Z meho pohledu je to jediny duvod, proc updaty nedelam, proste v domacich podmikach nemam kam ty data vykopirovat... a mit kvuli tomu cele druhe zarizeni mi prijde jako dost draha varianta.
-
Lol Phirae (neregistrovaný)
Nebot u kazdeho updatu se v readme doctete, ze updatem muzete prijit o vsechna data na zarizeni a ze si je proto mate vyzalohovat nekam jinam.
Ano, to se "překvapivě" píše u skoro každého výrobce. Hádej proč.
Z meho pohledu je to jediny duvod, proc updaty nedelam, proste v domacich podmikach nemam kam ty data vykopirovat...
Každý svého štěstí strůjcem...
-
martin (neregistrovaný)
No tak jeste jinak, najdou se tu skutecne nejaci uzivatele produktu Synology, kteri jsou ochotni se podelit o zkusenosti jake maji zarizeni a zda pri updatovani narazily na nejaky problem? (jako ze po updatu se rozpadlo pole, prestalo to podporovat nejake funkce, nebo dokonce HDD...)
-
martin (neregistrovaný)
Dekuji. To jsem chtel slyset.
Ohledne zalohovani jinam, v mem pripade to neni realne, mam DS2411 s RAID6, a uz tam je 30TB dat. Ale nejsou to rodine fotky, nejsou to kriticka data, je to moje soukroma sbirka.
1)
To co ale napriklad nevim a rad si necham poradit, pokud to tu bude nekdo vedet: ten vlastni "DSM OS" je nahrany nekde v pameti zarizeni, nebo primo na tech HDD? a pokud na HDD, ma to tam vlastni oddil nebo neco takoveho? Lze k tomu nekde nejak rozumne dohledat informace?2)
Mozna to bude spise najivni dotaz, ale presto jej polozim: Svuj NAS pouzivam jen jako archiv, tzn vetsinu casu je vypnuty, navic neni primo pripojeny k netu, je za FW a NATem. Hrozi mi v takovem pripade take napadeni SynoLockerem? (z clanku jsem to nejak nevycetl, staci mi odpoved ANO / NE, proc? protoc! :-) -
Filip JirsákStříbrný podporovatel
DSM je Linux a je nainstalovaný přímo na HDD. Jak je to přesně s rozdělením disku z hlavy nevím, každopádně to, co vidíte v NASu jako jednotlivé svazky, jsou adresáře (volume1 atd.) v souborovém systému toho Linuxu. Takže i kdyby první datový svazek a systém byly na stejném oddílu, svá data máte v jednom odděleném adresáři.
Jaké informace byste k tomu chtěl dohledávat? Nejjednodušší je přihlásit se do příkazového řádku toho Linuxu, nebo ten disk z NASu vyndat a připojit ho k nějakému Linuxu.
Podle toho, co popisujete, by vám napadení SynLockerem hrozit nemělo. Ale záleží na tom, zda opravdu platí to, co jste chtěl napsat. Pokud NAS není přímo připojený k internetu, ale je za firewallem, opravdu firewall brání přístupu k NAS z internetu? A pokud není možný přímý přístup, jste si jist, že útočník nemůže získat přístup na některé zařízení ve vaší síti a zaútočit na NAS zevnitř sítě? V DSM je služba pro vzdálený přístup k NASu z internetu, která projde i přes NAT (v článku je napsáno, že právě přes tuhle službu byly systémy napadeny) – nemáte tu službu aktivní? Předpokládám, že úplně jist si tím vším nebudete – takže každopádně doporučuju průběžně NAS aktualizovat na nejnovější verze a nenechávat tam běžet služby, které nepotřebujete. -
martin (neregistrovaný)
Jelikoz zatim nikdo nenapsal ze po updatu mel problem, tak nemam duvod se nadale branit updatovani a frknu ho tam jeste dneska.
Sluzby ktere nepouzivam jsem samozrejme vypinal, to delam uz leta.
"V DSM je služba pro vzdálený přístup k NASu z internetu"
Samozrejme si jisty nejsem :) Vedel by jste prosim presny nazev jak je to v tom systemu pojmenovane? Diky. -
izidor (neregistrovaný)
quick connect a EZ internet, viz
http://www.synology.com/cs-cz/support/tutorials/614 -
No tak s tím bezproblémovým updatováním bych byl opatrný. Já osobně jsem s updatem problém měl (dokonce jsem o tom informoval na rootu ve zprávičce -
http://www.root.cz/zpravicky/problematicka-aktualizace-nas-od-synology/ )
Doporučoval bych update s mírným zpožděním - jestli se náhodou neobjeví nějaké problémy -
izidor (neregistrovaný)
Synology ma v sobe 2 systemy. Jeden je zadratovany v nejake vnitrni pameti a slouzi k nastartovani serveru v pripade, ze je hlavni system poskozen nebo se provadi uplne prvni instalace. Druhy system je vlastni DSM, ktery je vzdy ulozeny v prvni partition na vsech discich. Kazdy disk ma nasledujici rozdeleni:
/dev/sdX1 - prvni partition pro system
/dev/sdX2 - druha partition pro swap
/dev/sdXy - vlastni data
Prvni 2 oddily maji kazdy svuj vlastni RAID1, tedy system je zrcadlen najednou na vsech discich. Update a preinstalace systemu se provadi take pouze na tom prvnim oddilu, proto je ztrata dat v pripade update velmi nepravdepodobna.Problem po update jsem mel za 5 let pouze jednou a to diky provozovani nepodporovaneho HW, mel jsem pripojene 4 USB disky pres USB hub a system je po jednom update prestal automaticky pripojovat a bylo nutne je pripojit rucne. Po vyreportovani problemu se patch objevil za tyden v pristim update.
Ten jejich SHR raid take neni problem problem pripojit nekde jinde v linuxu, je to vlastne jen kombinace mdadm raidu a LVM.
Zda hrozi napadeni se rici neda, podle vseho si jeste ani oni nejsou uplne jisti, ktere vsechny diry to pouziva. Da se jen minimalizovat riziko vhodnym nastavenim firewallu a sluzeb.
-
Filip JirsákStříbrný podporovatel
Vážně tu chcete dlouhý seznam těch, kteří nikdy žádný problém s updatem neměli? Nestačilo by požádat o komentáře těch, kteří někdy problém s updatem měli – a pak si přečíst možná pár komentářů, které budou popisovat problémy, které se objevily v souvislosti s updatem, ale pak se ukázalo, že byl problém v něčem jiném?
Tak si udělejte čárky u DS211j a DS713+, že jsem s updatem nikdy žádný problém neměl. -
http://www.root.cz/zpravicky/problematicka-aktualizace-nas-od-synology/
A pak se jeste najde nejaky brouk Obal, ktery rekne, ze "Dnešní oběti doplácejí na to, že svůj NAS server řádně neaktualizují.".
-
Rikam, ze existuje soft, kde k tomu dojit emuze? Ne, rikam pouze to, ze typicky user, ktery slysel, ze se kamosovi aktualizaci bricknul NAS, se na aktualizace radsi vykasle, pokud tedy vi, jak se delaji. Donuti ho k tomu leda tak udalost, jako je hrozba malware, o kterem se tu pise. Pokud jiz neni pozde.
-
Glo (neregistrovaný)
Vzdycky se mi update povedl na syno vsech velikosti a stari. napsat to tam musi aby se jistili. kdyz si koupis bojler, taky tam je napsano ze ho mas uzemnit vodicem rozmeru xxx jinak bude zle. a ono to funguje i bez nej. a u softwaru obecne byva ze nikdo za nic neruci a pouzivas to na vlastni triko :)
a musi se rozlisovat:
1. syno mam na zalohy - pak me netrapi kdyz na nem prijdu o data. porad mam ten puvodni zdroj, jinak to neni zaloha
2. data jinde nejsou a zaloha to neni a mel bych teda asi nekam zalohovat :) -
Kalda (neregistrovaný)
Zkušenosti s první Synology mám někdy od roku 2011, aktuálně je přímo v mé správě 6 různých zařízení...
Prakticky všechny updatuji neustále na novou verzi (pravdou je, že "citlivost" dat neřeším - na některých se zálohuje do cloudu (např. Crashplan), některé stanice naopak zálohují jiné, tj. výpadek jedné ze stanic neznamená ztrátu dat...Za tu dobu jsem při updatu zažil jeden jediný pád... Nedošlo ke ztrátě dat jako takových, ale spadnul DSM systém. Aktualizaci jsem dělal na vzdálené stanici přes internet a jedinou možností byla nová instalace přes synology DSM managera v lokální síti... Pamatovalo si to veškerá nastavení, vše, ale tím, že jsem zrovna nebyl fyzicky přítomný v dané síti (a VPN tam řeší právě Synology), to byl trošku problém...
Naopak jsem za tu dobu zažil HW selhání disku, přenesení disků do jiné stanice kvůli upgradu a nikdy nebyl problém, že by při něčem takovém došlo ke ztrátě dat...
-
r23 (neregistrovaný)
Když něco funguje, tak je lepší do toho nerýpat. Obecně aktualizuji jenom v případě, že je nějaký problém. Fakticky vzato mě updaty čehokoliv přinesli vždycky víc problémů než užitku. Na Linuxu, na windows, kdekoliv.
Reálně jsem dosáhl toho, že skoro nic nemusím řešit. I na (většinou windows) klientech. Jednou jedinkrát jsem musel u někoho obnovit systém z důvodu napadení malwarem. Což mi na 3 roky bez updatů, antiviru a u BFU nepřijde špatné. Dokud jsem to dělal jak bych měl, každých snad 14 dní jsem musel u někoho řešit, že se něco samo (obvykle po updatu) rozbilo. -
Filip JirsákStříbrný podporovatel
To, že počítače ve vaší správě jsou součástí botnetů, rozesílají spam, viry a útočí na jiné počítače, to zatím váš problém není. Akorát to odnášejí ostatní. Já mám na počítačích s Windows nastavenou automatickou aktualizaci OS, a nemusím řešit ani to zjištěné napadení malwarem.
-
r23 (neregistrovaný)
Jo, jenže to bylo každou chvíli něco. Tu update, a přestala jít tiskárna. Tu jiný, a rozsypala se java. Stále něco....
Ne, nesahat na něco co funguje. To je zlaté heslo.
Čas od času, když se někde takto objevím, tak to zkontroluju, případně aktualizuji, ale jen když je čas. Dříve jsem se IT zabýval, a často jsem doloval malware i ručně, navíc MS Win znám velice dobře a do hloubky. Takže ruční kontrola a případně nějaký online scan. Téměř nikdy nic. Na rootkity kašlu, ty se většinou projevují i navenek jinak.
Navíc, i relativně staré počítače chodí bez av a obecně i updatů chroupajících na pozadí překvapivě svižně. -
Filip JirsákStříbrný podporovatel
Mnoho lidí nepovažuje software se známou bezpečnostní chybou za něco, co funguje.
-
„Jo, jenže to bylo každou chvíli něco.“
Proto zákazníci platí za outsourcing správy IT nemalou sumu. Kdybych se jim na aktualizace vykašlal, je to vlastně podvod. Vy tu popisovanou správu děláte jako profík nebo soukromě například známým?
„Ne, nesahat na něco co funguje. To je zlaté heslo.“
Nevím, jestli děravý software lze označit za fungující software. Spíše bych řekl, že ne.
„Čas od času“
Malware bohužel laskavě nepočká se způsobením škody, než si udělám čas jít si s ním potřást pravicí.
„Téměř nikdy nic.“
To „téměř“ je opravdu klíčové. Kdyby například jeden ze stovky klientů přišel o data proto, že jsem mu neinstaloval aktualizace, tak je to sakra průšvih. Přitom z celkového pohledu se „téměř nic nestalo“. Jeden ze sta ...
„Navíc, i relativně staré počítače chodí bez av a obecně i updatů chroupajících na pozadí překvapivě svižně.“
Nainstalovaná aktualizace někde něco chroupá na pozadí? S těmi antiviry to není dnes také tak černé. I pět let starý počítač, pokud již ve své době nepatřil mezi low-end desáté kategorie, má dostatečný výkon, aby si z něj antivirus mohl ukousnout. Samozřejmě záleží jak který antivirus (a jak je nastaven).
-
Trident (neregistrovaný)
Pokud se vi treba 30 let o dire v software, ale k tomu softu jsou jediny zdrojaky vytisteny na traktoru a par fousatych lidi nad hrobem, kteri to ted prepisujou aby exponovane casti bezeli na obycejnych peckach. Tak kde je chyba? Ten system celou dobu fungoval. Jakekoliv spatne hrabnuti by mohlo znamenat castky,ktere firmu polozi na zada. Necha se to radsi bezet tech x let a obestavi se to zdi.
Mam ted taky jedno dilema. Vypnout stroje ktere uz jsou nepodporovane, nechutne derave, ale ridi cast rozvodne site (nastesti ne u nas). Jenomze ten ovladaci aplikacni soft se nevi jestli na novych sparcich pojede. Kdyz to nepujde a ja updatovane stroje v labtestu nevyzkousim, tak mne maximalne vyhodi. Ale energetickou spolecnost to bude bolet vic.
Ne vsude jsou pouhe desktopy a nagelovana cloudova uzehlena startupova individua jez nekteri maji odvahu nazyvat lidmi. Ne vsude je dobre dat hned "aktualizovat" a doufat ze se to spravne spravi. -
Filip JirsákStříbrný podporovatel
To ale píšete úplně o jiných případech. Píšete o software, který běží v kontrolovaném prostředí, a kde můžete na vstupu do toho kontrolovaného prostředí ošetřit vstup tak, aby k té chybě v nefunkčním software nedocházelo. Ten nefunkční software uvnitř spolu s tou ochranou pak jako celek tvoří funkční aplikaci. Asi byste si nedovolil ten software pro řízení rozvodné sítě se známou chybou jen tak vystavit, aby mohl tu chybu každý zneužít.
V případě R23 by to například znamenalo, že mezi své zákazníky-uživatele a Windows vloží nějakého otroka, který každý požadavek uživatele vyhodnotí a provede jej na Windows jedině tehdy, pokud bude bezpečný. O tomhle "detailu" by se jistě zmínil, pokud by ho v praxi provozoval. -
Karel (neregistrovaný)
Využiju faktu že se tu diskuse točí okolo NASek, a zeptam se zda nepozná NASku na uvedenem linku. Přisla nám ze zrušené zahraniční pobočky, nebyla k ní žádná dokumentace a ani se mi k ní nepodařilo nic vygooglovat :-/
Jediné označení na boxu je 'SBX140' jinak nic, ani žádný výrobce. Nepodařilo se mi zjistit ani defaltní IP a DHCPko si nebere. Budu vděčen za každou případnou informaci.... -
Joda (neregistrovaný)
Jak se tam ten skodlivy SW muze dostat? Neni mi to z clanku moc jasne. Nejsem zadny admin ani nic podobneho, jen majitel jednoho z NAS
a) synology informuje vzdy o novem firmaware => uzivatel je vzdy informovan, takze by mel aktualivat
b) v control panel -> security -> firewall => lze nastavit protokoly a IP, ktere mohou na diskova pole pristupovat
c) je zde 2 urovnova verifikace (na e-mail/SMS)
d) ten NAS je od internetu zase oddelen nejakym FW -
Lol Phirae (neregistrovaný)
Asi seš vopravdu pomalejší. Např. jedna z (dávno opravených) děr:
Multiple directory traversal vulnerabilities in the FileBrowser components in Synology DiskStation Manager (DSM) before 4.3-3810 Update 3 allow remote attackers to read, write, and delete arbitrary files via a .. (dot dot) in the (1) path parameter to file_delete.cgi or (2) folder_path parameter to file_share.cgi in webapi/FileStation/; (3) dlink parameter to fbdownload/; or unspecified parameters to (4) html5_upload.cgi, (5) file_download.cgi, (6) file_sharing.cgi, (7) file_MVCP.cgi, or (8) file_rename.cgi in webapi/FileStation/. ... Authentication: Not required to exploit
-
Filip JirsákStříbrný podporovatel
Uživatel má nainstalovaný program s bezpečnostní dírou, a tento program je dostupný z internetu - naslouchá na IP adrese a portu, které jsou z internetu dostupné (buď má NAS veřejnou IP adresu, nebo existuje skrze NAT tunel z veřejné IP adresy na privátní adresu NASu).
Uživatel ten program akorát nainstaluje, a pokud je za NATem a/nebo firewallem, vytvoří podle návodu průchod skrz NAT/firewall.
ČLÁNKY DO MAILU