<!DOCTYPE html>

<html>

  <head>

    <meta http-equiv="Content-Type" content="text/html; charset=UTF-8">

  </head>

  <body>

    <p><font face="Arial">Vubec tomuto oboru nerozumím, tak se zeptám

        hloupě; Je ten systém tak složitý, že není možné jakoukoli

        simulací nebo nějak jinak zajistit, že tam opravdu ty díry

        nebudou?</font><br>

    </p>

    <pre class="moz-signature" cols="72">Martin Záruba</pre>

    <div class="moz-cite-prefix">Dne 14.2.2025 v 10:07 Pavel Kořenský

      napsal(a):<br>

    </div>

    <blockquote type="cite"

      cite="mid:8c32b617-3e10-4ea5-a1bb-0a57e64115e8@dator3.cz">Zdravím,

      <br>

      <br>

      pokud vím (nestíhám studovat do hloubky úplně všechny nejnovější

      informace) tak snapshoty na Synology jsou zatím bezpečné. Tím

      "zatím" myslím to, že nevím o žádném malware, který by někdo

      napsal cíleně pro Synology resp. její DSM 7.x operační systém.

      Nějaký pokus byl kdysi pro DSM 6.x, ale tu díru Synology

      zazáplatovala velmi rychle. To, že jsou snapshoty read-only zase

      tak moc neznamená. Pokud systém umí snapshot vytvořit a smazat,

      musí umět i zapsat. Jde jen o to najít díru, která povede ke

      spuštění kódu a následné eskalaci práv. U Synology to zatím nikomu

      nestálo za to aby to cíleně hledal a zkoušel.

      <br>

      Jiná situace je třeba u VMWare, kde existuje několik druhů

      malware, které právě po snapshotech jdou. A když VMWare jednu díru

      zalepí, útočníci hledají další a když jí najdou, je to nová

      "0-day" chyba a kolečko se opakuje. Důvod je ten, že VMWare

      používají velcí zákazníci u kterých lze očekávat, že případně

      zaplatí tučné výkupné.

      <br>

      <br>

      Je to bohužel neustálý boj, protože z ransomware se stal regulérní

      mafiánský bussiness ve kterém se krom obyčejných sprostých

      zločinců pohybují i státem vytvářené a placené skupiny. Zejména

      třeba pro KLDR je ransomware významným zdrojem devizových příjmů.

      <br>

      <br>

      Zdraví PavelK

      <br>

      <br>

      Dne 14.02.2025 v 8:50 Martin Hanek napsal(a):

      <br>

      <blockquote type="cite">Jak se díváte na snaphoty na btrfs na

        Synology NAS? Moje, snad správná, představa je ta, že kdyby

        někomu ve firmě napadl ramsonware počítač a ten zašifroval

        sdílené disky, tak snapshoty zůstanou nedotčené? Jsou read only?

        <br>

        <br>

        Martin Hanek

        <br>

        <br>

        <br>

        Dne 13.02.2025 v 23:23 Pavel Kořenský napsal(a):

        <br>

        <blockquote type="cite">Zdravím,

          <br>

          <br>

          nevím o tom, že by se to někomu povedlo. Matně si pamatuju, že

          před pár lety tam byl nějaký problém s nedostatečným

          zabezpečením hesla či certifikátu, ale Synology to celkem

          rychle zazáplatovala.

          <br>

          Nicméně, jak vždy platí v oblasti IT Security, co je pravda

          dnes nemusí být pravda zítra. Ale taky to používám a jsem

          celkem v klidu.

          <br>

          Jak jsem už psal, při používání podobných prostředků nejspíš

          při plošném ransomware útoku k zašifrování či smazání záloh

          nedojde (není to jako připojit si síťový disk pomocí SMB a

          nalejvat na něj kopie souborů) a stačí udělat restore ze

          zálohy před útokem. Nejlépe hodně dost dnů před útokem,

          protože některé ransomware mají ošklivou vlastnost v tom

          smyslu, že se usadí v systému, počkají pár měsíců a pak se

          aktivují.

          <br>

          Pokud by útok způsobil, že dojde k zašifrování zálohy třeba na

          tom Active Backup, tak to není plošné, ale jde o cílený (a

          velmi drahý) útok na konkrétní infrastrukturu. A to je patrně

          věc nějaké státem placené APT a tudíž případ pro písmenkové

          agentury a o tom opravdu nemohu a nesmím mluvit. Ale v takovém

          případě to bude řešit někdo úplně jiný než lokální admin.

          Problém lokálního admina bude jen v tom, jestli nezanedbal

          nějaký bezpečnostní update. Pokud nezanedbal, tak je z obliga.

          <br>

          <br>

          Zdraví PavelK

          <br>

          <br>

          Dne 13.02.2025 v 22:50 Michal Grunt napsal(a):

          <br>

          <blockquote type="cite">A co takove Synology a Active Backup

            for Business. Už to někdo dokázal napadnout a vše zrušit?

            (pri předpokladu, že není zapnuté SSH, nejsou nainstalovane

            žádné kontejnery, zbytečně balicky, nikdo neexperimentoval s

            pravy na slozku ABB atd.)

            <br>

            <br>

          </blockquote>

        </blockquote>

        _______________________________________________

        <br>

        HW-list mailing list  -  sponsored by <a class="moz-txt-link-abbreviated" href="http://www.HW.cz">www.HW.cz</a>

        <br>

        <a class="moz-txt-link-abbreviated" href="mailto:Hw-list@list.hw.cz">Hw-list@list.hw.cz</a>

        <br>

        <a class="moz-txt-link-freetext" href="http://list.hw.cz/mailman/listinfo/hw-list">http://list.hw.cz/mailman/listinfo/hw-list</a>

        <br>

      </blockquote>

      <br>

      <br>

      _______________________________________________

      <br>

      HW-list mailing list  -  sponsored by <a class="moz-txt-link-abbreviated" href="http://www.HW.cz">www.HW.cz</a>

      <br>

      <a class="moz-txt-link-abbreviated" href="mailto:Hw-list@list.hw.cz">Hw-list@list.hw.cz</a>

      <br>

      <a class="moz-txt-link-freetext" href="http://list.hw.cz/mailman/listinfo/hw-list">http://list.hw.cz/mailman/listinfo/hw-list</a>

      <br>

    </blockquote>

  </body>

</html>