NAS взломали. Как трояны проникают в сетевые хранилища и как от этого защититься

[dlinyj]

Больше всего меня беспокоит безопасность таких устройств. Они обычно работают без нашего контроля, внутрь туда не лезешь обычно, а разработчики редко озадачиваются хоть какой-то безопасностью. И в результате всякие мелкие маршрутизаторы, NAS и прочее мелкое барахло с Linux на борту становится целью атак.

[Holmogorov]

Безопасность там весьма относительная, как показывает практика...

[dlinyj]

Обычно стараюсь ставить свои прошивки, которые собираю сам. Это не гарант безопасности, но так хотя бы можно самостоятельно отследить подозрительную активность.

[YMA]

Прячем их за файрволл, а дырочки в нем открываем port knoсking'ом, или ходим в домашнюю сеть через VPN с сертификатом. По крайней мере от тупых ботов-сканеров защитит.

[maledog]

Довольно разумным решением с точки зрения безопасности может стать создание личного облака на арендованном VPS-сервере, куда можно сохранять резервные копии самых ценных файлов.

А шо? Таки панели управления VPS и всякие там web-панели давно не взламывали? Или VPS c терабайтными дисками стал стоить хотя бы на порядок выше NAS?

[polar_yogi]

А шо вы удивляетесь? Это блог компании продающей VPS.

[Holmogorov]

Много лет пользуюсь VPS, ни разу не взламывали, но о таких случаях слышал, конечно. По большому счету, взломать можно что угодно... Речь о резервном хранилище. У меня в качестве запасного, например, выступает внешний винт, но он не очень удобен: достать, подключить, воткнуть блок питания, дождаться, пока определится в системе, скопировать, отключить, убрать на полку... Приватное облако, имхо, удобнее. Но я не настаиваю.

[daggert]

Приватное облако настроенное кривыми рученками по устаревшим гайдам по первой ссылке в яндексе в десятки раз хуже готового и обновляемого решения от всяких QNAP или Synology.

У меня торчат пяток NAS'ов и три сетевых ЖД (WD) в мир - ни разу не взломали, но это не значит что они безопасны, это лишь означает что я неуловимый Джо. Однако VPS, на котором нет сайта и он занимается роутингом определенным, регулярно рапортует что на honeypot слетаются разные мухи.

[YMA]

Можно вставлю 5 копеек про оффлайн бэкапы? И пусть шифровальщики отдыхают...

А если данные меняются в небольшом количестве - можно даже автоматом сделать, цепляем BD-писалку, вставляем в нее BD-R на 25(50,100) ГБ, и пусть раз в неделю по планировщику туда новой сессией дописываются измененные данные. В зависимости от объема данных одного диска может хватить надолго ;)

[Holmogorov]

Хм. Интересно: а сколько итераций перезаписи выдержит такой диск?

[YMA]

А вот кто его знает - надо попробовать, плюс предлагаю не пере- а до-запись, диски это позволяют.

На DVD на сессию терялось около 10 мегабайт, если на BR столько же - то итераций может быть много...

[Holmogorov]

У меня где-то в кладовке валяется Iomega ZIP на 750 мегабайт. В свое время было очень хорошим девайсом для резервного копирования - я на нем вёрстку журналов хранил. Жалко, драйверов под современные ОС к этому девайсу уже не существует...

[Yuriy_krd]

Так поднять в VM_Ware виртуалку с семеркой или XP, там есть проброс портов USB… Или у вас с интерфейсом FireWare?

[Holmogorov]

Нет, он USB 2.0. В случае использования виртуалки придется возиться с настройками для копирования файлов с хостовой машины, а я человек довольно-таки ленивый...

[Vest]

Интересно было бы почитать про вектора атаки на Synology QuickConnect. Потому что это, в принципе, хороший способ получить доступ к серверу, не открывая и не пробрасывая порты наружу.

[Holmogorov]

Помнится, когда мы писали статью про Synolocker, нас буквально атаковали ребята из пресс-службы Synology с настойчивыми просьбами дописать, что все уязвимости исправлены, все пофикшено и пользователям ничего не угрожает :).

[Vest]

Нет, я не из них, я этим пользуюсь. Поэтому и интересуюсь :)

[Holmogorov]

Просто после того случая я зарёкся вообще что-то писать про продукцию этой замечательной компании: как плохое, так и хорошее :)

[Vest]

Жаль, ну ладно. Спасибо, что рассказали про QNAP. Это было тоже познавательно (для меня).

[greenkey]

Удалось дешифровать то? Или все снесли? Ценные данные старого приятеля то были там?

[Holmogorov]

Там ничего особенно ценного не было, так что - снесли.

[greenkey]

Я однажды занимался дешифровкой - очень давно, когда они только появились. Повезло, в алгоритме шифрования был изъян, который был найден исследователями, они же и написали скрипт для дешифровки, емнип. Интересный был опыт, но это, в целом, слишком дорогое удовольствие.

[13werwolf13]

все проблемы о того что люди привыкли юзать коробочные решения и покупают всякие кунапы и синоложи, разрабы которых не сильно парятся по поводу безопасности и актуальных апдейтов, им важнее выкатить красивую вебмордочку.

любая x86_64 или arm железка, любой линукс дистр, и пара часов свободного времени. и вуаля у нас есть NAS сломать который сильно сложнее. а если потратить ещё пару часов на чтения манов и опыта других лююдей то вообще неломаемый бастион..

[Wolframium13]

Люди поэтому и покупают коробочку, чтоб не читать и не настраивать.

[13werwolf13]

чтобы потом прочитать в два раза больше ага..

[plinth21]

На самом деле, у кунапов часто выходят обновления безопасности (каждый месяц это точно, а в периоды эпидемий/новостей чаще), но да порой тупо лень в них заглядывать и обновлять...

[MrRitm]

Ну вот так совпало, что я решил себе что-то поставить с raid-1, торрентами (на всякий случай), plex и owncloud. Сейчас это просто raspberry (уже лет 7-8 работает), но она не умеет аппаратный raid, а программный считаю не достаточно надёжным. Выбор у меня какой? qnap\dlink\synology\WD занимают места чуть более чем 2 диска, ставятся незаметно на полку в стене. А если буду собирать железку сам, то это microatx+корпус+БП на 250Вт минимум. Настроить - не проблема. Проблема в размерах этой махины и куда её девать.

Но и да, настроить все свои сервисы "для дома, для семьи" за 30 минут или только на отвёрточную сборку убить пару часов?

Машина под мои задачи обойдётся (без учёта дисков) примерно в 15000 - 20000р., а NAS со всем функционалом который мне нужен на процессоре x86 я возьму на авито менее чем за 10000

Так что выбор не очевиден и был бы рад прочитать рекомендации опытных :-)

[13werwolf13]

Ну для начала хочется сказать что лично я бы выбрал программный рейд, mdadm/btrfs/zfs имеют ряд преимуществ перед аппаратным

1) например в btrfs я могу быстренько собрать raid1 из того что есть, а потом по возможности докупить дисков и без простоя на лету превратить его в raid10 или 5...

2) у меня уже был случай когда аппаратный рейд контроллер умер, тот что лежал в зипе оказался так же мёртв, а другой такой оказалось не купить (очень старый), ну а другие контроллеры такой рейд не увидят и работать с ним не станут.

Ну а по надёжности программный меня не разу не подводил (zfs может подвести если памяти не хватит, но тут ссзб), да и по скорости как-то претензий нет. А бонусом btrfs и zfs умеют сжатие и дедупликацию чего нет в аппаратных контроллерах.

По остальному советую Загуглить hp microserver. Дёшего и компактно. Но это x86, а если хочется всё же энергоэффективности то у pine64 есть одноплатник с полноценным pci-e в который можно воткнуть любую hba (ну или аппаратный рейд если очень хочется) и получаем мало кушающий arm девайс.

И это будет не дороже проприетарного nas (со схожими характеристиками конечно) с того же avito или injapan

Хотя лично мне надоело гнаться за компактностью, да и электричество нынче стоит недорого (по крайней мере у меня) и я подумываю таки взять какой нибудь большой jbod на много дисков и hba с external SAS. Меня смущает не размер а шумность и тепловыделение пока, но это тоже решаемо.

Раньше я работал в хостинг провайдере, и по блату держал двухюнитник в цоде. Сейчас понимаю насколько это лучше чем домашнее маленькое и компактное и хочу вернуться к тому конфигу хотя и дома.

[vviz]

Насколько я понял пользователи на осмысленно вешают NAS на "белый" адрес и после имеют проблемы. Ну это как уходя из жилища оставить входную дверь не запертой...

[dimka11]

Какие варианты, если нужен доступ из интернета? Был бы он в локальной сети все было бы хорошо, если конечно никто ноутбук с трояном не принесет в сеть.

[vviz]

Есть такая штука - VPN называется, очень пользительна.
А можно узнать, зачем проковыривать в НАТ дырку на веб-морду домашнего NAS?

[Zed-nsk]

Меня, как владельца NAS со стажем 15 лет беспокоит вопрос наличия подобной малвари для других платформ, например FreeBSD. Встречалось ли кому на просторах подобное?

[Holmogorov]

Шифровальщиков не видел, а вот руткиты под "фряху" были.

[R7R]

некоторые пользователи наивно полагают, что если их девайс работает под управлением Linux, он защищён от всевозможных вредоносов самой архитектурой операционной системы.

Некоторые? Это весьма распространенное убеждение.

Шутка о том, что вредоноса для Linux нужно сначала собрать из исходников, убедиться в том, что в системе есть все нужные библиотеки и зависимости, и только после этого пытаться запустить, выдав ему предварительно права root, утратила актуальность.

Похоже, что вы первый, кто осмелился написать об этом публично (ранее мне ничего подобного не попадалось :)

[Holmogorov]

Когда я работал в ИБ-компании, то писал об этом постоянно, чуть ли не каждую неделю. Но мои слова воспринимались, как "очередная реклама и попытка впарить эти никому ненужные антивирусы".

¯\_(ツ)_/¯

[yoz]

Может просто не высовывать NAS наружу? Те же кунапы и синолоджи имеют пакеты банального openvpn сервера, что отрежет 99% возможностей его поломать.

[Didimus]

1. В чем проблема собрать NAS на традиционных ОС, которые обновляются и безопасностью которых занимаются намного плотнее? Например, сборки, предназначенные для веб-серверов

2. Непонятно, зачем домашний NAS к интернету подключать. Используйте прокси в виде домашней машины, а доступ к NAS-у только по самбе

3. Пока не используйте, выключайте NAS

[Wolframium13]

2. и как заходить на него, например, с ноута в другом городе?

[werter_l]

vpn

[Didimus]

Подключиться к рабочей машине, с неё уже через самбу, например, использовать NAS. Можно на время отсутствия запретить запись, например

[werter_l]

Спасибо за статью.

Пользую самосбор (привет, Ali - https://xeon-e5450.ru/socket-2011-3/aktualnye-sborki-na-2011-3-sokete/) + freenas core\scale, omv, xigmanas. Проблем с безопасностью на порядок меньше - обновления выходят часто. Freenas и omv умеет в докер ,что позволяет быстро развернуть vpn (wg-easy, amnezia vpn etc) для доступа к nas извне.