Synology DiskStation Manager (DSM) 4.3-3776 - Multiple Vulnerabilities
- Ersteller fbartels
- Erstellt am
- Status
Hallo fbartels,
Bücher und Hardware zum Thema gibt es bei Amazon: Synology DiskStation Manager (DSM) 4.3-3776 - Multiple Vulnerabilities
Bücher und Hardware zum Thema gibt es bei Amazon: Synology DiskStation Manager (DSM) 4.3-3776 - Multiple Vulnerabilities
Zurück aus dem Urlaub habe ich mich eben gefragt, was DSM 4.3 3776-1 für ein Update sein soll. Auf der Seite von Synology findet man nichts darüber.
Ich habe mich in letzter Zeit immer öfter über Synology geärgert. Da eröffnet man vor Ablauf der beta ein Ticket, in dem man darauf aufmerksam macht, dass man die 2-Wege Authentifizierung nicht zurücksetzen kann, wenn der Benutzer zu oft ein Backup-Passwort angefordert hat und eine Woche später bekommt man zur Antwort, dass die beta abgelaufen sei und man auf die neuste DSM-Version updaten solle. Hinzu kommt, dass die "neuen" DS (z.B 112 oder 213j) absolut schlecht verarbeitet sind. Und jetzt noch so ein Klopper... Ab sofort können die Ahnungslosen ihren Mist behalten!
Ich kaufe mir eine DS, um eine eigene Wolke zu haben und nicht einem Unternehmen meine Daten anvertrauen zu müssen und die Reislutscher sorgen dafür, dass nicht nur die NSA, sondern JEDER auf meine Daten zugreifen kann.
Dann bringen die Trottel einen patch raus, der gar keiner ist. So verdammt dämlich kann man ja gar nicht sein.
Edit: Und da ich mir nicht zu helfen wusste, habe ich mein Netzwerk so umgebaut, dass die DS nur noch im WLAN zu finden ist und keine Internetverbindung mehr hat. Die Daten, die ich brauche darf ich jetzt wieder mit mir "rumschleppen". Nur gut, dass ich das iPhone in weiser Vorraussicht mit 64GB Speicher bestellt habe...
Ich habe mich in letzter Zeit immer öfter über Synology geärgert. Da eröffnet man vor Ablauf der beta ein Ticket, in dem man darauf aufmerksam macht, dass man die 2-Wege Authentifizierung nicht zurücksetzen kann, wenn der Benutzer zu oft ein Backup-Passwort angefordert hat und eine Woche später bekommt man zur Antwort, dass die beta abgelaufen sei und man auf die neuste DSM-Version updaten solle. Hinzu kommt, dass die "neuen" DS (z.B 112 oder 213j) absolut schlecht verarbeitet sind. Und jetzt noch so ein Klopper... Ab sofort können die Ahnungslosen ihren Mist behalten!
Ich kaufe mir eine DS, um eine eigene Wolke zu haben und nicht einem Unternehmen meine Daten anvertrauen zu müssen und die Reislutscher sorgen dafür, dass nicht nur die NSA, sondern JEDER auf meine Daten zugreifen kann.
Dann bringen die Trottel einen patch raus, der gar keiner ist. So verdammt dämlich kann man ja gar nicht sein.
Edit: Und da ich mir nicht zu helfen wusste, habe ich mein Netzwerk so umgebaut, dass die DS nur noch im WLAN zu finden ist und keine Internetverbindung mehr hat. Die Daten, die ich brauche darf ich jetzt wieder mit mir "rumschleppen". Nur gut, dass ich das iPhone in weiser Vorraussicht mit 64GB Speicher bestellt habe...
Zuletzt bearbeitet:
Frogman
Benutzer
- Mitglied seit
- 01. Sep 2012
- Beiträge
- 17.485
- Punkte für Reaktionen
- 8
- Punkte
- 414
Sorry, nimm's mir nicht übel - aber hier empfehle ich Dir mal ein wenig mehr Realismus und Nachforschung.
Ok, der Unmut über eine Systemschwäche ist in allen Fällen nachvollziehbar, ich bin da ebenso nicht begeistert. Doch man sollte auf dem Teppich bleiben. Ganz abgesehen von dem Schädigungspotential hier im konkreten Fall (welches Du eventuell doch etwas überbewertest) solltest Du einfach mal auf eine Convention wie bspw. der Black Hat fahren und Dich dort umsehen/umhören. Wenn Du bis dahin angesichts der Sicherheitslage praktisch beliebiger Systeme kein mulmiges Gefühl in der Magengegend hattest - danach hast Du beste Voraussetzungen, eines zu entwickeln
Und als Anmerkung: wenn Du glaubst, die Daten auf Deinem iPhone würdest Du "sicher" mit Dir herumtragen, nur weil Du dieses hochpreisige Stück Technik in Deiner Tasche hast, dann scheinst Du von aktuellen Veröffentlichungen des Herrn Snowden noch nicht allzu viel gelesen zu haben. Und über Deinen putzigen Versuch, Dich durch Beschränkung auf WLAN abzusichern, möchte ich gar nicht weiter reden. In diesem Zusammenhang eventuell der Hinweis, dass der russische Inlandsgeheimdienst jüngst eine ganze Fuhre mechanische Schreibmaschinen in der Schweiz geordert hat - wahre Sicherheit ist (wenn überhaupt) analog...
Wer es sicher haben möchte stellt die NAS nicht ins Internet, so einfach ist das. Oder nutzt gleich OpenBSD und verschlüsselt richtig, dann natürlich nicht auf einer Synology.
Ich nehme es Dir natürlich nicht übel.
Natürlich macht jeder Fehler. Aber wenn sich eine ausreichend große Anzahl von Personen einen Programmcode anschaut, muss einem der Fehler des anderen auffallen.
Wenn ich den Thread richtig verstanden habe, dann geht es nicht darum, dass irgendwelche Geheimdienste meine Daten einsehen können (das war mir schon klar, bevor Snowden überhaupt daran gedacht hat das Thema publik zu machen), sondern dass jeder, der Zugriff auf meine DS hat (also mein kompletter Bekanntenkreis) auch auf alle Daten zugreifen kann, wenn er sich 10 Minuten in das Thema einliest. Für mich ist es eben keine "Schwäche", wenn jeder ungewollten Zugriff auf meine Daten hat, sondern einfach nur eine riesige Sauerei. Und die Vertuschungstaktik von Synology stinkt mir auch. Das Update wird nicht auf der Herstellerwebseite erwähnt.
Jedenfalls kann ich den Fehler nicht beheben und stehe jetzt echt blöd da. Und diejenigen, die sich aufgrund meiner Empfehlung eine DS gekauft haben, werden auch nicht begeistert sein, wenn ich sie auf diesen Thread hinweise.
Ich bin zwar der "Computerprofi" im Bekanntenkreis, aber ich habe noch nie wirklich programmiert. Genau das bringe ich mir aber gerade bei, damit ich nicht mehr auf GUIs und unfähige Hersteller wie Synology angewiesen bin. Und wenn ich etwas mehr Ahnung vom Thema habe, nehme ich Deinen Tipp gerne auf und fahre zur Black Hat.
Natürlich macht jeder Fehler. Aber wenn sich eine ausreichend große Anzahl von Personen einen Programmcode anschaut, muss einem der Fehler des anderen auffallen.
Wenn ich den Thread richtig verstanden habe, dann geht es nicht darum, dass irgendwelche Geheimdienste meine Daten einsehen können (das war mir schon klar, bevor Snowden überhaupt daran gedacht hat das Thema publik zu machen), sondern dass jeder, der Zugriff auf meine DS hat (also mein kompletter Bekanntenkreis) auch auf alle Daten zugreifen kann, wenn er sich 10 Minuten in das Thema einliest. Für mich ist es eben keine "Schwäche", wenn jeder ungewollten Zugriff auf meine Daten hat, sondern einfach nur eine riesige Sauerei. Und die Vertuschungstaktik von Synology stinkt mir auch. Das Update wird nicht auf der Herstellerwebseite erwähnt.
Jedenfalls kann ich den Fehler nicht beheben und stehe jetzt echt blöd da. Und diejenigen, die sich aufgrund meiner Empfehlung eine DS gekauft haben, werden auch nicht begeistert sein, wenn ich sie auf diesen Thread hinweise.
Ich bin zwar der "Computerprofi" im Bekanntenkreis, aber ich habe noch nie wirklich programmiert. Genau das bringe ich mir aber gerade bei, damit ich nicht mehr auf GUIs und unfähige Hersteller wie Synology angewiesen bin. Und wenn ich etwas mehr Ahnung vom Thema habe, nehme ich Deinen Tipp gerne auf und fahre zur Black Hat.
Frogman
Benutzer
- Mitglied seit
- 01. Sep 2012
- Beiträge
- 17.485
- Punkte für Reaktionen
- 8
- Punkte
- 414
Ich denke, das hat weniger mit Unfähigkeit zu tun... Sicherlich haben die einen oder anderen auch Defizite, doch im Wesentlichen vermute ich mangelnde Qualitätssicherung als Ursache. Unter dem hohen Sparzwang, der heutzutage herrscht, ist es dem Management in den meisten Unternehmen nicht klar, warum sie neben den eigentlichen Entwicklern auch noch Tester beschäftigen sollen (wobei jeder, der etwas von der Materie versteht, um den Nutzen eines echten Testens weiß).
Das NAS Betriebssystem ist mittlerweile dermaßen komplex und besteht aus etlichen Paketen (nicht nur die aus dem Paketzentrum), die irgendwie ineinander greifen müssen. Da sind Fehler und Schwachstellen vorprogrammiert. Wichtig ist nur dass der Hersteller zeitnah reagiert. Ich hätte nur den Link im ersten Threadbeitrag Synology gepostet und fertig. Da steht alles drin. Keiner kann verlangen, dass man selbst das noch nachrecherchiert und prüft und Möglichkeiten des fixen findet. Dafür werde ich jedenfalls nicht (bei Synology) bezahlt. Wenn man es extrem sicher haben möchte, setzt man nicht auf Synology.
100%ige Sicherheit hat man nie, klar. Aber wenn die Latte, wie im dem Fall bei OpenBSD, sehr viel höher hängt, kann man nicht meckern. Ich hätte nie einen Vergleich mit anderen NAS Herstellern angestellt, da mir schon klar ist, dass es da ähnlich schlecht bestellt ist: es ist auch für Homeuser zum relativ günstigen Preis gedacht, da kann man kein großes Security-Team bei den Herstellern erwarten.
Frogman
Benutzer
- Mitglied seit
- 01. Sep 2012
- Beiträge
- 17.485
- Punkte für Reaktionen
- 8
- Punkte
- 414
Im Prinzip stimme ich Dir zu. Allerdings nehmen einige der Player ja für sich in Anspruch, auch Unternehmenshardware im Portfolio zu haben - da ist dann der Anspruch durchaus gewichtig und sollte auch mit entsprechender Kompetenz und Manpower hinterlegt sein. Und was spricht dann dagegen, die Erkenntnisse und Feature aus diesen Produkten auch in denen für den gemeinen bzw. anspruchsvollen Home-User bereitzustellen (zumindest, was den Schutz gegen Verwundbarkeit angeht)?
Es spricht definitiv nix dagegen. Momentan wollen die Hersteller sich jedoch von einander absetzen, indem mehr Funktionen bereitgestellt werden, als bei der Konkurrenz. Und mit mehr Funktionen sind selten zusätzliche Sicherheitsfeatures gemeint, jedenfalls auf der Softwareseite. Auf der Hardwareseite ist es problematisch (z.B. Hardwareverschlüsselungsmodul), da dies die Kosten auch schnell hochtreiben würde. Für den professionellen Bereich weniger ein Problem, für Home-User schon.
Die 2 Factor Authentication war jedoch schonmal ein guter Anfang bei Synology. Wenn dies jedoch leicht umgangen werden kann, ist das wiederrum nicht so toll.
- Mitglied seit
- 03. Feb 2012
- Beiträge
- 18.985
- Punkte für Reaktionen
- 624
- Punkte
- 484
Nur dass es sich beim DSM m.E. nach um eine Softwareentwicklung für den Home-User handelt, die Synology aber auch an Unternehmen verkauft.
Ne, Ne, das lasse ich nicht gelten. Das Problem ist hausgemacht. Synology schraubt einerseits sehr viel an dem Standard-Linux rum, daß vieles nicht mehr an gewohnten Stellen zu finden ist (z.B. /usr/syno/etc). Das schafft unnötige Mehrarbeit. Weiterhin, warum kein anständiges Patchmanagement? Andere Distributionen machen es doch vor. Ebenso ist ein Änderungshistorie (Changelog) Pflicht. Warum mauert Synology?
So sieht es aus.
Alles Synology vorschlagen: http://www.synology.com/company/contact_us.php?lang=deu
Hier können wir diskutieren, wie wir wollen...es muss Synology von mehreren Usern erreichen.
Hier können wir diskutieren, wie wir wollen...es muss Synology von mehreren Usern erreichen.
Da ist Synology aber schon auf dem richtigen Weg, immer mehr Features in das Paketzentrum auszulagern. Alles was nicht unnötigerweise an ist und von wenigen genutzt wird (und nicht deaktiviert werden kann) gehört ins Paketzentrum. Ich hätte beispielsweise kein Problem die DSM Oberfläche komplett abschaltbar zu machen und nur noch über SSH/Telnet (als Backup) zu administrieren. File Station gehört m.M. auch als Paket ins Paketzentrum, genauso wie SNMP und NFS.Nur dass es sich beim DSM m.E. nach um eine Softwareentwicklung für den Home-User handelt, die Synology aber auch an Unternehmen verkauft.
Zuletzt bearbeitet:
Frogman
Benutzer
- Mitglied seit
- 01. Sep 2012
- Beiträge
- 17.485
- Punkte für Reaktionen
- 8
- Punkte
- 414
Gut, das steht dann auf einem anderen Blatt. Wobei ich schon aus meiner Erfahrung heraus sagen kann, dass viele kleine und mittelständischen Unternehmen kaum mehr als so eine "hingefönte" GUI auf einem adaptierten System verkraften können - dort wird Systemadministration oftmals von Mitarbeitern nebenbei erledigt.Nur dass es sich beim DSM m.E. nach um eine Softwareentwicklung für den Home-User handelt, die Synology aber auch an Unternehmen verkauft.
Genau das ist das Schlimme: die bekommen noch nicht mal mit, wenn diese ausspioniert und angegriffen werden (und da meine ich nicht NSA und co). Aber dann über Wirtschaftsspionage sich wundern und Patent-Anwälte beauftragen. Aber bei wie so vielem: es wird an den Auswirkungen und nicht an den Ursachen geschraubt.
Dem kann ich nicht zustimmen, bei Sicherheitslücken sollte eine Meldung für das Unternehmen ausreichend sein, um sofort tätig zu werden.
Vielleicht ist man mit diesen Lücken und dem Verhalten von Synology besser bei heise aufgehoben, um darüber Druck auf Synology aufzubauen!
Hi!
Betrifft das dann nur die Anmeldeseite von DSM oder auch Dinge wie bspw. die Photostation oder den Mailserver?
Gruß
Karl
Betrifft das dann nur die Anmeldeseite von DSM oder auch Dinge wie bspw. die Photostation oder den Mailserver?
Gruß
Karl
synology schrieb:
meinungen dazu?
habe denen diesen Link geschickt: http://seclists.org/fulldisclosure/2013/Sep/53
Das ist doch quaaaark...?
Kommt darauf an. Deswegen gibt es Schwachstellen unterschiedlicher Wichtigkeit. Wenn eine Sicherheitslücke klein ist und verhältnismäßig viel Arbeit notwendig ist das zu fixen wird es nach hinten verschoben oder erst wenn viele Leute das bemängeln und somit wieder in der Priorität steigt.
- Status
Kaffeautomat
Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.
Als Dankeschön schalten wir deinen Account werbefrei.
