Win11 - Obnovenie nastaveni

[Pavel Kořenský]

Zdravím,

pokud vím (nestíhám studovat do hloubky úplně všechny nejnovější 
informace) tak snapshoty na Synology jsou zatím bezpečné. Tím "zatím" 
myslím to, že nevím o žádném malware, který by někdo napsal cíleně pro 
Synology resp. její DSM 7.x operační systém. Nějaký pokus byl kdysi pro 
DSM 6.x, ale tu díru Synology zazáplatovala velmi rychle. To, že jsou 
snapshoty read-only zase tak moc neznamená. Pokud systém umí snapshot 
vytvořit a smazat, musí umět i zapsat. Jde jen o to najít díru, která 
povede ke spuštění kódu a následné eskalaci práv. U Synology to zatím 
nikomu nestálo za to aby to cíleně hledal a zkoušel.
Jiná situace je třeba u VMWare, kde existuje několik druhů malware, 
které právě po snapshotech jdou. A když VMWare jednu díru zalepí, 
útočníci hledají další a když jí najdou, je to nová "0-day" chyba a 
kolečko se opakuje. Důvod je ten, že VMWare používají velcí zákazníci u 
kterých lze očekávat, že případně zaplatí tučné výkupné.

Je to bohužel neustálý boj, protože z ransomware se stal regulérní 
mafiánský bussiness ve kterém se krom obyčejných sprostých zločinců 
pohybují i státem vytvářené a placené skupiny. Zejména třeba pro KLDR je 
ransomware významným zdrojem devizových příjmů.

Zdraví PavelK

Dne 14.02.2025 v 8:50 Martin Hanek napsal(a):
> Jak se díváte na snaphoty na btrfs na Synology NAS? Moje, snad 
> správná, představa je ta, že kdyby někomu ve firmě napadl ramsonware 
> počítač a ten zašifroval sdílené disky, tak snapshoty zůstanou 
> nedotčené? Jsou read only?
>
> Martin Hanek
>
>
> Dne 13.02.2025 v 23:23 Pavel Kořenský napsal(a):
>> Zdravím,
>>
>> nevím o tom, že by se to někomu povedlo. Matně si pamatuju, že před 
>> pár lety tam byl nějaký problém s nedostatečným zabezpečením hesla či 
>> certifikátu, ale Synology to celkem rychle zazáplatovala.
>> Nicméně, jak vždy platí v oblasti IT Security, co je pravda dnes 
>> nemusí být pravda zítra. Ale taky to používám a jsem celkem v klidu.
>> Jak jsem už psal, při používání podobných prostředků nejspíš při 
>> plošném ransomware útoku k zašifrování či smazání záloh nedojde (není 
>> to jako připojit si síťový disk pomocí SMB a nalejvat na něj kopie 
>> souborů) a stačí udělat restore ze zálohy před útokem. Nejlépe hodně 
>> dost dnů před útokem, protože některé ransomware mají ošklivou 
>> vlastnost v tom smyslu, že se usadí v systému, počkají pár měsíců a 
>> pak se aktivují.
>> Pokud by útok způsobil, že dojde k zašifrování zálohy třeba na tom 
>> Active Backup, tak to není plošné, ale jde o cílený (a velmi drahý) 
>> útok na konkrétní infrastrukturu. A to je patrně věc nějaké státem 
>> placené APT a tudíž případ pro písmenkové agentury a o tom opravdu 
>> nemohu a nesmím mluvit. Ale v takovém případě to bude řešit někdo 
>> úplně jiný než lokální admin. Problém lokálního admina bude jen v 
>> tom, jestli nezanedbal nějaký bezpečnostní update. Pokud nezanedbal, 
>> tak je z obliga.
>>
>> Zdraví PavelK
>>
>> Dne 13.02.2025 v 22:50 Michal Grunt napsal(a):
>>> A co takove Synology a Active Backup for Business. Už to někdo 
>>> dokázal napadnout a vše zrušit? (pri předpokladu, že není zapnuté 
>>> SSH, nejsou nainstalovane žádné kontejnery, zbytečně balicky, nikdo 
>>> neexperimentoval s pravy na slozku ABB atd.)
>>>
> _______________________________________________
> HW-list mailing list  -  sponsored by www.HW.cz
> Hw-list na list.hw.cz
> http://list.hw.cz/mailman/listinfo/hw-list