Synolocker

[Arkatror]

Donc en gros en faisant comme ça et en mettant des ports exotiques sans a avoir à re configuré tout mes appareilles je sécurise un peut plus mon réseau.

[Einsteinium]

Je viens de tomber sur cet article:

Le ransomware CryptoLocker n'est plus une fatalité : un site Web pour connaître sa clé de déchiffrement sans payer

Je sens qu'il y en a certains qui vont être soulagés!

Cela concerne la version PC, circule depuis hier, présent dans un topic (mais tellement de flood), l'article parle de reverse.... connerie, ils ont eux la liste des clefs suite à la saisie des serveurs par le FBI...

Il demande un fichier crypté pour avoir la clef public, pour fournir celle privé.

Le FBI étant sur le coup et si la team réagit aussi vite, on pourrais bien avoir la même solution d'ici la fin de l'année.

[bud77]

Donc en gros en faisant comme ça et en mettant des ports exotiques sans a avoir à re configuré tout mes appareilles je sécurise un peut plus mon réseau.

Attention, le port 8000 n'est pas vraiment un port exotique (tout comme 8080)

Fait plutôt des 8412 et truc du genre

[Foxdream94]

Bon d'après le mail recu par Synologu après a avoir ouvert un ticket de support (mail posté plus haut) il me prospose la solution suivante :

- Faire un RESET de l'OS pour crasher le DSM 4.3-3810 et installer via le Synology Assistant la version 5 du DSM afin de remettre en Etat le NAS qui est victime du Synolocker.

- Cela n'entraine aucune perte de donnée, juste une perte de config

Mais cela ne va-t-il pas entrainer la perte du dossier /etc/synolock qui se trouve sur la partition système, dossier ou semble etre le "virus" donc l'algorithme de cryptage et de décryptage (si vous avez la clé privé biensur).

Faire cette migration me fait donc perdre l'espoir de décryptés plus tard mes données ou pas ?

Ou la clé publique est dans sur fichier crypté ?

Perso j'ai tenter par un live-Cd de copier le dossier mais impossible avce le RAID sur le NAS, le live-CD peut pas monter le DD.

QUe faire selon vous ?

[CoolRaoul]

Cela concerne la version PC, circule depuis hier, présent dans un topic (mais tellement de flood), l'article parle de reverse.... connerie, ils ont eux la liste des clefs suite à la saisie des serveurs par le FBI...

Il demande un fichier crypté pour avoir la clef public, pour fournir celle privé.

Le FBI étant sur le coup et si la team réagit aussi vite, on pourrais bien avoir la même solution d'ici la fin de l'année.

Ah ok, je comprend mieux. Mes filtres RSS ont tiltés a a cause des clés "Synlogy" et "Synlocker" présents dans l'article, et comme on m'attendais pour déjeuner je n'ai pas pris le temps d'approfondir.

Désolé pour la fausse joie.

Modifié le 7 août 2014 par CoolRaoul

[Einsteinium]

Ah ok, je comprend mieux. Mes filtres RSS ont tiltés a a cause des clés "Synlogy" et "Synlocker" présents dans l'article, et comme on m'attendais pour déjeuner je n'ai pas pris le temps d'approfondir.

Désolé pour la fausse joie.

Tkt en même temps, c'est ma si mauvais, synology demande les coordonnées pour le FBI, donc sa suivra certainement le même chemin =)

[Jérôme_D]

C'est ainsi que fonctionne le backup Syno, que ce soit en local ou de NAS à NAS, d'ou ma remarque.

Pour conserver un historique nécessite faut soit utiliser un volume dédié en cible, soit utiliser Time Backup (dans les deux cas avec les problemes de volumétrie sur la cible lorsque tous les fichiers sources sont modifiés comme tu l'as fait remarquer)

... ou alors spécifier le nombre de versions à garder en cochant la case (voir ci-dessous, 1ère ligne "maximum number of kept version") :

Attention ! Une vraie synchro remplace les anciens fichiers par les nouveaux (chiffrés le cas échéant) pour peu qu'ils aient le même nom. Si le nom change l'ancien fichier est supprimé car absent du Syno source.

Rien ne vaut une bonne sauvegarde incrémentale après une complète initiale (TimeBackup) :-)

... ou alors cocher "Réserver les fichiers à destination", voir ci-dessous (pas la case entourée, l'autre) :

Bref... comme on dit chez SFR : "C'est prévu patron".

[CoolRaoul]

... ou alors spécifier le nombre de versions à garder en cochant la case (voir ci-dessous, 1ère ligne "maximum number of kept version") :

Non, cela ne concerne que la sauvegarde de *configuration*, pas les fichiers (pouquoi donc est-ce indiqué en chinois sur ton screenshot? tu aurais percuté sinon)

Exemple en V5 (au look pres c'est pareil qu'en V4):

... ou alors cocher "Réserver les fichiers à destination", voir ci-dessous (pas la case entourée, l'autre) :

Cela ne permet que de conserver un exemplaire de la dernière version d'un fichier *effacé*.

Par contre la sauvegarde d'un fichier *modifié* écrasera sa version sauvegardée précédente

Modifié le 7 août 2014 par CoolRaoul

[Jérôme_D]

J'ai pris les screenshots sur le site de Syno, d'où le Chinois

Merci pour les petites nuances, qui ont leur importance.......

[B@rberousse]

Bonjour à tous.

Je lis pas mal de choses sur le sujet et j'ai cru comprendre que les versions de DSM 4.3 et "plus anciens" sont impactées et qu'il faut passer en DSM 5.0 pour combler la faille.

Or, je ne vois rien à propos des Syno encore sous DSM 3.1, comme le 107+ qui ne sont plus maintenus et donc ne ne sont plus éligibles au DSM 4.X et plus récents...

J'ai re routé tous les ports "classiques" (, 21, 22, 23, 5000, 7000...) vers des ports aléatoires, mais est-ce que Syno prévoit de combler la faille sur ses plus vieux matériels ?

Merci d'avance.

[Jérôme_D]

Indépendemment de la version, la faille date d'avant décembre 2013.

Si tu as fait une MàJ depuis décembre 2013, c'est bon.

A priori ce n'est pas le cas pour toi, avec ton DS107. C'est peut-être l'heure de la retraite du net ?

Tout est là :

http://www.synology.com/en-global/company/news/article/472

For other users who have not encountered the above symptoms, Synology strongly recommend downloading and installing DSM 5.0, or any version below:

• DSM 4.3-3827 or later
• DSM 4.2-3243 or later
• DSM 4.0-2259 or later
• DSM 3.x or earlier is not affected

Modifié le 7 août 2014 par J

[dadoudidon]

alors pour ceux qui sont coincés, payer ou ne pas payer? Lors de l'attaque cryptolocker sur les serveur en début d'année, nous avons eu un client que devait retrouver ses données (pas sauvegardées malgré nos directives!) Ce que l'on a pu voir sur les forum c'était que ceux qui avaient payé avaient tous reçu l'exe de décryptage. le pirate demandait de lui envoyer par mail deux fichiers cryptés ainsi que le fichier txt comprenant un texte d'explication et une clé (ce fichier était présent dans tous les rep cryptés. Ils ont reçus sous un ou deux jours les fichiers décryptés. je sais qu'un client a payé et il a reçu un exe qui lorsque lancé a bien tout decrypté. Le but des pirates est de se faire de la monnaie. donc il ont tout intérêt à faire le job, gage de leur "confiance". Après se pose le problème de la déontologie (payer un pirate!) Se pose aussi la question du mode opératoire de la crypto sur le NAS qui est peut être différent que sur les pc. il y a sur les nas peut être un moyen de decrypter les fichiers (mais perso j'en doute). Aussi, le fait que le cryptage soit long sur un nas à cause du processeur bien moins performant que sur un serveur, certains ont arrêté leur NAS en cours cryptage et là il y a peut être moyen de faire machine arrière. Par contre je ne crois pas que le prix va augmenter au bout du compte à rebours (c'est mon avis perso). c'est juste une pression supplémentaire pour accélérer le paiement. En tout cas, je pense que cette alerte permettra aux processeurs de NAS que ces derniers sont des solutions de stockage et non une sauvegarde et qu'il est indispensable d'en sauvegarder régulièrement le contenu. La leçon est un peu rude je l'avoue. Bon courage à tous

[Oooops!]

Re-

Je ne comprends pas où est le problème qu'ils fassent ainsi.

Si tu passe de la 4.3-3810 Update4 à la 4.3-3827 tu ne perds rien, suffit d'aller sur le NAS et de cliquer pour l'installation... C'est même faisable d'un smartphone !

Celui qui ne veut pas faire la MAJ parce que trop proche de l'ancienne est juste un faignant.

Même en séparant les deux (MAJ critique et MAJ fonctionnalités), faudrait qu'il télécharge du coup la bonne MAJ (genre case à cocher comme dans Windows Update), donc retourner sur son NAS. Le problème est le même, s'il prend pas le temps de lire le mail il ne prendra pas le temps de faire la bonne MAJ...

Tu m’enlèves les mots du clavier: j'étais en train de composer peu ou prou la même réponse.

Pas d'accord avec ton affirmation, car on ne peut pas être sûr qu'on ne "perd" rien => j'en veux pas de la 3827, parce que ce qu'elle fait (en dehors du point critique) ne m'intéresse pas.

Pourquoi?

Parce que j'ai suffisamment longtemps travaillé dans le développement de logiciel dans ma jeunesse pour savoir que quand on modifie quelque chose quelque part (même pour le réparer ou l'améliorer), on n'est pas sûr qu'on n'a pas "abîmé" quelque chose autre autre part (et c'est une litote...). J'ai vu -pas "eu", compte tenu de la politique que j'applique- assez de cas où l'introduction d'une nouvelle fonctionnalité, ou même simplement le changement de fonctionnement d'une fonctionnalité existante (ceci incluant sa "réparation"), avait perturbé des choses qui auparavant fonctionnaient bien, pour vouloir continuer à appliquer l'adage "on ne modifie pas quelque chose qui marche", plus exactement qui "donne satisfaction": dans l'exemple donné, puisque je n'utilise ni SMB2, ni SFTP, ni QuickConnect, je ne vais pas prendre le "risque" de faire cette màj; par contre bien-sûr je voudrai pouvoir faire la màj de vulnérabilité.

Donc les màj critiques/de sécurité, oui, 100 fois oui; mais obliger à y adjoindre quelque chose en plus si on n'en a pas besoin, même si c'est sensé "réparer" quelque chose, non. Et tant pis si je passe pour un vieux ringard (que je suis probablement, mais c'est pas grave, j'assume... ).

Je ne suis pas un défenseur de Windows, mais au moins sur ce coup-là c'est clean: les màj de sécurité sont indépendantes des autres (et je les fais), mais le reste c'est rare; et mes ordis m'ont toujours donné ce que j'en attendais.

Modifié le 7 août 2014 par Oooops!

[gtkow]

Bonjour tous le monde!!

je suis tombé sur cet article.... très intéressant qui explique la mésaventure de plusieurs entreprise....

je vous mets le lien pour ceux qui veulent le lire...

http://www.tdg.ch/high-tech/hard-software/pirates-informatiques-guident-victimes-ligne/story/19256356

Bonne fin de journée et surtout courage pour les personne infectée....

GTKOW

[Lalsacien]

Bonjour,

Dans ce fil, il est constamment dit qu'il faut faire des sauvegardes de son (ses) Syno et je suis entièrement d'accord.

Cependant j'ai une question simple :

Comment et avec quoi faites-vous vos sauvegardes ?

Sachant qu'un Syno est justement là pour avoir plusieurs To ? Sur bandes ? Un second Syno (cher la solution) ? CD-Rom (je déconne) ?

Une sauvegarde simple, fiable, de grande capacité et bon marché ça existe ?

Bien Cordialement

Lal

[PiwiLAbruti]

je suis tombé sur cet article.... très intéressant qui explique la mésaventure de plusieurs entreprise....

je vous mets le lien pour ceux qui veulent le lire...

http://www.tdg.ch/high-tech/hard-software/pirates-informatiques-guident-victimes-ligne/story/19256356

Très intéressant, mais la faille réelle vient des entreprises :

Sur les trente clients de Robert Hyppolite équipés de Synology, deux ont été infectés et leurs sauvegardes ont également été atteintes.

Faut être inconscient pour laisser une destination de sauvegarde connectée en permanence (donc vulnérable).

Même en tant que particulier je débranche mon disque dur USB une fois la sauvegarde terminée.

[Fravadona]

La pluparts (dont moi) font des sauvegardes "ciblees" (seules les donnees irreproductibles) sur un disque externe ou/et a distance. Du coup ca correspond a un relativement petit volume de donnees.

[Jérôme_D]

Il doit être possible de sauver un NAS connecté au net sur un autre NAS uniquement local. Pour ça un vétéran de la génération 07 ou 08 doit faire le job pour pas trop cher...

[Vinky]

Re-

Pas d'accord avec ton affirmation, car on ne peut pas être sûr qu'on ne "perd" rien => j'en veux pas de la 3827, parce que ce qu'elle fait (en dehors du point critique) ne m'intéresse pas.

Pourquoi?

Parce que j'ai suffisamment longtemps travaillé dans le développement de logiciel dans ma jeunesse pour savoir que quand on modifie quelque chose quelque part (même pour le réparer ou l'améliorer), on n'est pas sûr qu'on n'a pas "abîmé" quelque chose autre autre part (et c'est une litote...). J'ai vu -pas "eu", compte tenu de la politique que j'applique- assez de cas où l'introduction d'une nouvelle fonctionnalité, ou même simplement le changement de fonctionnement d'une fonctionnalité existante (ceci incluant sa "réparation"), avait perturbé des choses qui auparavant fonctionnaient bien, pour vouloir continuer à appliquer l'adage "on ne modifie pas quelque chose qui marche", plus exactement qui "donne satisfaction": dans l'exemple donné, puisque je n'utilise ni SMB2, ni SFTP, ni QuickConnect, je ne vais pas prendre le "risque" de faire cette màj; par contre bien-sûr je voudrai pouvoir faire la màj de vulnérabilité.

Donc les màj critiques/de sécurité, oui, 100 fois oui; mais obliger à y adjoindre quelque chose en plus si on n'en a pas besoin, même si c'est sensé "réparer" quelque chose, non. Et tant pis si je passe pour un vieux ringard (que je suis probablement, mais c'est pas grave, j'assume... ).

Je ne suis pas un défenseur de Windows, mais au moins sur ce coup-là c'est clean: les màj de sécurité sont indépendantes des autres (et je les fais), mais le reste c'est rare; et mes ordis m'ont toujours donné ce que j'en attendais.

Bah ne te plaint si tu es infecté par un hack.

Si tu estimes que posséder une version qui donne le pouvoir de se faire hacker sans difficulté correspond à une version qui "donne satisfaction" je ne vois pas de souci.

Personnellement, quelque soit les autres modification autour, ce point là ne me donnera JAMAIS satisfaction donc je mettrais à jour.

Pöur le reste, il ne faudra pas venir pleurer.

PS : Merci de ne pas donner de conseils à des particuliers si c'est pour dire des choses comme ça, on en arrive à ce sujet de 17 pages après

Modifié le 7 août 2014 par Vinky

[Lapin]

Bonjour tous le monde!!

je suis tombé sur cet article.... très intéressant qui explique la mésaventure de plusieurs entreprise....

je vous mets le lien pour ceux qui veulent le lire...

http://www.tdg.ch/high-tech/hard-software/pirates-informatiques-guident-victimes-ligne/story/19256356

Bonne fin de journée et surtout courage pour les personne infectée....

GTKOW

Ce qui est intéressant, c'est que même s'il est recommandé de ne pas payer (même raison que pour les prises d'otages), ceux qui paient obtienne la procédure de décryptage.

[Dex]

Avez vous une seconde analysé ce qui se dit sur la majorité des posts ? On parle partout de "mots de passe archi compliqués" je veux bien mais d'abord les mots compliqués se cassent bien eux aussi et assez facilement semble t-il. On parle aussi beaucoup (trop ?) de cryptage sécurisé en https, tout ça je veux bien mais ce que j'entends surtout et qui n'a pas l'air de faire frétiller les oreilles de personne est qu'on laisse l'accès à son DSM par le port 5000 (ou 5001 pour les rois du crypt) et pourquoi pendant qu'on y est ne pas mettre de grands panneaux indicateurs bien lisibles indiquant bien où se trouve le magot !

Si j'étais un pirate et que je voulais exclusivement me faire une brochette de synos, alors je demanderais à l'ami google : inurl:webman/index.cgi

Un petit script pour analyser le resultat et même pas la peine de scanner des plage d'IP et de ports.

Donc changer le port par defaut, pas complètement convaincu.

Qui change le nom de son réseau "MSHOME" ?

Qui change son plan d'adressage interne ? Tout le monde garde le sempiternel 192.168.0.1 ou 192.168.1.1, vous croyez vraiment que les bandits sont si primaires qu'ils ne l'ont pas remarqué ?

Ca change quoi le changement de la plage d'IP ou le nom du réseau en terme de sécu ?.

Assez d'accord pour le reste.

Perso etant parano, mes données réellement sensibles (photos en gros) n'ont pas leur masters sur le NAS tant qu'il n'y aura pas de client crashplan "natif" sur Syno (pas envie de dupliquer le boulot).

[Einsteinium]

Si j'étais un pirate et que je voulais exclusivement me faire une brochette de synos, alors je demanderais à l'ami google : inurl:webman/index.cgiUn petit script pour analyser le resultat et même pas la peine de scanner des plage d'IP et de ports.Donc changer le port par defaut, pas complètement convaincu.Ca change quoi le changement de la plage d'IP ou le nom du réseau en terme de sécu ?.Assez d'accord pour le reste.Perso etant parano, mes données réellement sensibles (photos en gros) n'ont pas leur masters sur le NAS tant qu'il n'y aura pas de client crashplan "natif" sur Syno (pas envie de dupliquer le boulot).

Tout a fait d'accord avec ce que tu as mis sur google, y a aussi via shodan, modifier le port ne sert pas trop, un simple port scan interroge les ports ouvert et les entêtes...

[domlas]

Avec des si on met Paris en bouteille, c'est bien connu.

Vous avez tout à fait raison et c'est comme le mec que se paye cher un détecteur de radar automobile du nom d'une sorte de chien loup et qui pleure parce qu'il à pris une prune de stationnement.

Je suis entièrement d'accord avec vous et vous déductions : il n'y a pas de protection universelle et il n'y en aura jamais !

par contre je dis qu'avec un minimum de bon sens (comme en avait nos culs terreux de grands parents) on peut éviter au moins à 90% d'emmerdements.

Commencez déjà par oublier totalement les sites de téléchargements plus ou moins (surtout moins) légaux. Déjà vous réduisez d'un facteur énorme les risques encourus.

Ensuite détournez le "chemin officiel" vers votre syno et vous réduisez encore...

Pour mapart en appliquant ces quelques mesures et en me souciant beaucoup moins d'être à l'affut de la toute dernière mise à jour ou autre grigri du même acabit je n'ai jamais eu de vrais gros soucis depuis plus de 15 ans.

[Vinky]

Attention à ne pas tout mettre dans le même sac.

Ne pas confondre le cas du piratage par script du cas du piratage "manuel".

L'un est bête et discipliné "j'attaque ce port et je test, ça marche pas, je vais à l'IP suivante".

En manuel, autant dire que quoi qu'il arrive, il existera forcement un élément qui fera qu'il réussira à rentrer.

Donc ce sur quoi il faut se prémunir c'est le point 1, le 2 est quasi indéfendable car tout système est vulnérable.

Pour se protéger du premier, il faut donc faire le minimum de chose pour se protéger.

PS : Concernant google, personnellement le miens n'y apparait pas sans avoir fait spécialement quelque chose contre, je retourne donc la question, comment faut-il faire pour s'y retrouver ? ça ne semble pas être par défaut.

Commencez déjà par oublier totalement les sites de téléchargements plus ou moins (surtout moins) légaux. Déjà vous réduisez d'un facteur énorme les risques encourus.

Je ne vois pas le rapport avec les haricots... On a qu'à rajouter les réseaux sociaux et on a fait la boucle de la paranoïa...

[Oooops!]

Bonsoir,

Bah ne te plaint si tu es infecté par un hack.

Si tu estimes que posséder une version qui donne le pouvoir de se faire hacker sans difficulté correspond à une version qui "donne satisfaction" je ne vois pas de souci.

Personnellement, quelque soit les autres modification autour, ce point là ne me donnera JAMAIS satisfaction donc je mettrais à jour.

Pöur le reste, il ne faudra pas venir pleurer.

PS : Merci de ne pas donner de conseils à des particuliers si c'est pour dire des choses comme ça, on en arrive à ce sujet de 17 pages après

où as tu vu que je conseillais de ne pas faire de mise à jour?

j'ai juste essayé de donner une explication sur une raison possible qui ferait que les usagers ne feraient pas systématiquement toutes les mises à jour, et je continue de penser qu'une séparation claire, entre ce qui relève de la sécurité, et tout le reste, pourrait contribuer à diminuer le problème. Car on se se poserait pas de question: tout ce qui relève de la sécurité, on applique; par contre, le reste...

Je pense qu'en règle générale les gens qui viennent sur ce forum exploitent beaucoup les possibilités de DSM; mais j'aimerais bien savoir combien d'autres utilisateurs de Syno, qui ne sont très probablement pas inscrits ici ou même ignorent l'existence du lieu, ont des usages plus "basiques", càd qui ne nécessitent pas l'ouverture sur internet -ce qui est quand même bien à la base du problème rencontré aujourd'hui-.
Je ne veux surtout pas faire de généralisation abusive à partir de cas particulier, mais dans les gens que je connais qui ont un NAS (pas forcément Syno d'ailleurs) il n'y a que ça.
Mon 1er Syno était en DSM2.3, et je ne l'ai passé en 3.2 que pour pouvoir utiliser des disques de plus de 2Tio; ensuite je suis passé en 4.2/4/3 (selon les appareils) pour pouvoir aider au téléphone des amis qui ont eut leur Syno livré avec DSM4. Il est "intéressant" (façon de parler, vu la gravité de la situation pour certains utilisateurs ) de constater que si j'étais resté en DSM3.2, qui répondait à mes besoins/mes usages, je n'aurai aucun risque puisque les versions 3 ne sont pas impactées.

Qu'on ne se méprenne pas: je ne prône pas l'immobilisme (sinon on en serait encore à s'éclairer à la bougie) et je ne reproche pas à Synology de faire évoluer DSM; simplement ce que j'aimerais, c'est que chacun puisse avoir le choix, une fois son produit acheté, de le faire évoluer ou pas en fonctionnalités, tout en ayant toujours la possibilité d'appliquer tous les patches de sécurité: quand j'achète un voiture, je ne demande pas au constructeur de me fournir ensuite les améliorations des versions suivantes; par contre je m'attends à ce qu'il me prévienne et traite les questions de sécurité -cf les campagnes de rappel-.

Modifié le 7 août 2014 par Oooops!