Asustor hackade av deadbolt

Så länge du håller Nextcloud-instansen uppdaterad och inte öppnar onödiga portar i brandväggen, så är du relativt säker. Detsamma gäller förstås Linux.

Hur håller man sig säker? Detta är svårt då det finns så många vägar att få sin data krypterad.

Jag har en unraid server, på den kör jag dockers för reverse proxy samt nextcloud. Servern själv är inte exponerad mot internet men min SWAG docker är det, surfa till kaka.bulle.io och man möts av inloggning för min nextcloud.
Min Unifi Dream Machine blockar dagligen "intrångsförsök".
Jag har "backup" av min nextcloud data, dock en manuell sådan, jag måste starta ett script som flyttar datan till en annan nas.
Detta är dock utan versionshantering, så om jag missat att något har hänt så finns risken att jag backar upp krypterad data.

Grejen är ju den, jag synkar min nextcloud till 4 enheter (windows, android samt ios). även om min server är "säker" eller jag stänger av internet access och vpn:ar in, om jag får in någon skit på någon av mina enheter så kan den där kryptera min data som sedan synkas till min server.

"svårt" att vara säker idag.

Förstår att det framstår som jättenaivt ur en dataguds perspektiv men de allra flesta betraktar sig inte som måltavla för hackerattacker. Följer man inte säkerhetsbuiseness så är ransomware väldigt abstrakt och drabbar företag med känslig data.

Ett stort problem som jag ser det är att folk betalar utpressarna. Jag blir av med lite semesterbilder och blurays men det är inte så känsligt, mest drygt och känns lite onödigt. Den som däremot har så mycket känslig data att man kan tänka sig att betala för dekryption borde ju tänkt efter före. Ransomware existerar ju enligt hackarna själva enbart för att det fungerar till att tjäna pengar.

Nu har jag inte ståndpunkten som framförs i inlägget du svarade på, men en sak som jag tycker vore lämpligt göra ytterligare (om du inte redan gör det) är att installera en snapshot manager som ytnyttjar ZFS funktionalitet för snapshots per automatik.
T.ex. då att för datasets som innehåller intressant data automatiskt se till att det hålls en snapshot varje timme de senaste 3 dagarna, en om dagen den senaste månaden och en i veckan de senaste 3 månaderna (eller vad du nu tycker passar).

Det är ett enkelt sätt att få versionerad lagring, och det ger en extra livlina både för egna misstag (huvudpoängen) men även om det kommer in något sattyg som antingen inte har full kontroll över datorn utan bara någon specifik tjänst, eller inte har logik för att sabotera snapshots...

När jag söker på Asustor NASar så ser jag väldigt få vanliga butiker som säljer dem i sverige. Var dessa vanligare innan? Jag tänker att den stora skaran kollar in populära nasar på Elgiganten, inet, webhallen, netonnet, komplett etc.

Mitt intryck var att nasen på konsumentsidan var väldigt mycket nas för pengarna om man ser till hårdvaran och funktioner.

Misstänker att du plockat bort access till in server för den går inte att nå nu.

Vet inte hur nextcloud fungerar men om man istället tar något enkelt som kanske kan vara en parallell till Nexcloud, delning av filer på det lokala nätverket med SMB via Samba så kan man ju börja med att begränsa rättigheter för sina användare. Behöver alla användare kunna modifiera och radera allt eller räcker det att de har möjlighet att ladda upp filer? Detta problem är ju egentligen inte nytt, utan sålänge alla har möjlighet att radera/modifiera data så kan de faktiskt göra det av misstag.

Om man ändå kommer fram till att alla behöver fullständiga rättigheter så går det ju faktiskt inte att skydda sig på något vettigt sätt. Man kan introducera lösningar som gör det enklare att återställa efter ett misstag/ransomware-attack. Kör du någon filsystem som har stöd för snapshots (ZFS och btrfs är de jag kommer på just nu) så kan man ju ordna så att man regelbundet kör snapshots och sparar de i revisioner. För ZFS finns zfs-auto-snapshot, btrfs har jag aldrig använt så där vet jag inte. Detta löser ju problemet till viss del med "externa" faktorer men blir din server kapad på något vis så kommer de förmodligen tömma alla snapshots också och då är det bara din externa backup som kan rädda dig.

Jag skulle ändå råda dig att sätta upp en WireGuard-tunnel och låta alla dina externa enheter tunnla sig in. Wireguard fungerar fint på telefoner.

Ja, i teorin ingen skillnad. Problemet blir väl när ASUS i detta fall knackar ihop massa egena tjänster med dålig säkerhetoch inte uppdaterar dessa i följd med att säkerhetshål upptäcks. Kör du en egen server öppnar du försiktigt upp för de tjänster som du vet är väldigt säkra, ex SSH. Det handlar inte om att porten i sig är öppen. Det är tjänsten som lyssnar på porten som behöver vara sårbar. Om du öppnar port 5555 i din router och säger att paket på den porten ska till dator på 192.168.1.52 så kommer paketen åka till den datorn, men den datorn kommer slänga dem rakt i skräpkorgen eftersom ingen applikation lyssnar på den porten.

Lyssnar däremot en applikation på 5555 är det viktigt att den inte låter paketen som den tar emot ställa till med någonting. Applikationen kan ex innehålla ett säkerhetshål som gör det möjligt för någon att ta över hela datorn om det vill sig illa.

Verkar finnas en hel del info här:
https://nascompares.com/2022/02/21/asustor-nas-drives-getting...

Mest intressant är kanske att många filer med .deadbolt har en chans att bara vara omdöpta och inte krypterade (än).

Har exakt samma som dig.
Nextcloud går att komma åt via en reverse proxy och även onlyoffice documentserver.

Min ubiquiti server är också exponerad då genom ubiquiti själva.
Lika så Plex genom plex själva.
Är det säkert?

Resten av mina dockers kräver wireguard för att komma åt.

Men visst är man inloggad på nextcloudappen via mobil, skulle man få något där kanske det laddar upp sig självt till nextcloud sen är det inne.

Men är inte poängen med dockers att de ska vara separerade från systemet? Om det kommer in via nextcloud kan det då ta sig till andra shares som nextcloud inte har access till?

Nej, jag tycker inte heller det är ett problem att man köper "en NAS istället för en riktig server". En enkel NAS som t.ex. Asustor är billigare än en server, tar mindre plats, drar mindre ström och är enklare att sätta upp. Problemet är att dessa EasyConnect och allt vad det heter ö.h.t. finns. Använder man en server/NAS för backup och lagring av viktig personlig data ska den inte vara tillgänglig på Internet, punkt slut. Men folk vill kunna ladda upp direkt från sin iPhone var de än befinner sig och tillverkarna marknadsför dessa funktioner som säljargument utan att nämna riskerna.

Kör man en egen Windows- eller Linuxserver och exponerar en massa saker rakt ut på Internet kommer man också utsätta sig för risk. Vet man inte vad man gör är det även lätt att råka konfigurera en server fel så den blir sårbar. Möjligen är SSH med nycklar (inte bara lösenord) "säkert", men varför chansa när man kan lägga det bakom en VPN och få ännu mer säkerhet? En Raspberry Pi 4 fungerar f.ö. väldigt bra som VPN-server (Wireguard eller OpenVPN), och den kommer troligen få säkerhetsuppdateringar under lång tid.

Tyvärr är det inte backup på riktigt om man inte följer 3-2-1 metoden: 3 kopior av filerna, på 2 olika medium (ovanligt med kassettband numera, så det kan t.ex. vara en extern HDD och en NAS) och 1 offsite-kopia.
Många NAS har inbyggda verktyg för att göra backup offsite till t.ex. Amazon eller Backblaze. Det kostar lite, men är ett alternativ om man inte har möjlighet att ställa en NAS hos en kompis t.ex. Det kan även vara bra att ha Versioning på molnbackupen, så den inte omedelbart skrivs över med krypterade filer vid en attack.

Mycket info och lite svårt att sålla för en som inte sysslar med nätverk i någon större omfattning...

Jag har inte haft EZ-Connect aktiverat, och jag kom in som vanligt på min NAS i morse när jag snabbt testade. Har inte djupdykt, men det verkade vid första anblick som att jag inte är drabbad. Stängde av efter test, och nu undrar jag hur det är tänkt att man dels ska säkra upp sin NAS enligt ASUSTOR's officiella uttalande (detaljer önskas!), och vågar man ens starta den i nuläget?

Och hur gör man smidigast backup på eländet om man väl vågar starta? Copy/paste på lokal disk typ?

Jag kan ha den avstängd ett tag, det är ju det absolut säkraste.

Dock skulle jag vilja veta säkert om jag är drabbad och kanske fixa en backup.

Om jag kopplar bort min router helt från internet så borde jag väl kunna starta upp och testa om allt är ok? Eller?

Jag undrar om det går att nyttja NASen som en nätverksdisk utan att exponeras mot internet. Men hemnätverket är ju anslutet till internet.

Använder endast NASen lokalt alltså.

Ja, alltså jag stänger helt av internet i hela huset och kopplar min NAS direkt i nätverkporten på datorn.

Måste ju vara säkert från externa angrepp om jag inte fått något redan.

Iofs, men om jag inte ens kan starta min NAS offline så hjälper ju ingen fix i världen ändå.

Om du har fått in nåt så vill du ju inte att NAS:en ska fortsätta bearbeta det. Däremot finns det sätt att förhindra det genom att fysiskt koppla in diskarna i en dator med ex. en Live-CD med Ubuntu. Men jag skulle avvakta tills Asustor säger nåt mer.

Ja, men å andra sidan är ju gissningar och antaganden allt vi (och tydligen ASUSTOR) har för tillfället. :-/