Bereits seit einiger Zeit befindet sich DSM 5.0 von Synology in der Betaphase, d.h. die Version wurde den Nutzern zum Testen zur Verfügung gestellt. Um so erstaunlicher fand ich, dass bei soweit fortgeschrittener Testphase noch ein Update für DSM 4.3, die derzeitig noch aktuelle Version von Synologys Betriebssystem für die Diskstation, ausgeliefert wird. Diese Sache machte mich neugierig.
Zuerst sah ich mir gegen meine Gewohnheit die Changelog des aktuellen Updates an und interessant ist vor allem Punkt 1 (Übersetzung von mir):
Dieses Update repariert das System und entfernt Malware die durch vorherige Schwachstellen verursacht wurden (CVE-2013-6955, CVE-2013-6987)
Interessant wird dieser Punkt v.a. durch die angeführten CVE-Nummern. CVE ist ein Industriestandard, der dazu dient, eine einheitliche Bennennung von erkannten Sicherheitslücken und Schwachstellen zu ermöglichen. Ziel ist es den Informationsaustausch zwischen verschiedenen Unternehmen, Behörden usw. zu vereinfachen bzw. überhaupt erst zu ermöglichen. Sicherheitslücken bzw. Schwachstellen müssen bereits einen relativ hohen „Bekanntheitsgrad“ erreichen um in diese Datenbank aufgenommen zu werden …
Durchsucht man nun die Datenbank nach CVE-2013-6955 und CVE-2013-6987 wird der Grund für diese Aufnahme schnell klar: kurz gesagt ermöglichen beide Schwachstellen unautorisierten Nutzern Zugriff auf das Dateisystem der Diskstation zu erlangen. Offensichtlich ist das auch – zumindest einige Male – gelungen, sonst wäre die o.a. Reparatur des Systems inklusive Entfernung von Malware nicht nötig gewesen.
Was mich an der Sache wirklich beunruhigt, ist der Fakt, dass in relativ kurzer Zeit 2 wichtige Komponenten meines Heimnetzes von erfolgreichen Attacken betroffen waren. Man kann in diesem Zusammenhang übrigens sehr gut zwei unterschiedliche Herangehensweisen von Unternehmen an die Problemlösung sehen. Während AVM scheinbar transparent reagierte (das es dann am Ende doch nicht ganz so transparent war wissen wir seit gestern, aber das steht auf einem anderen Blatt) und die Öffentlichkeit und Nutzer ihrer Hardware offensiv informierte, hat Synology die Öffentlichkeit nicht informiert und „still und leise“ Updates bereit gestellt. Da aber auch die Diskstation keine automatischen Updates durchführt, sondern diese manuell angestossen werden müssen, ein eher fragwürdiger Weg. So bleibt die Gefahr bestehen, dass noch etliche ungepatchte Geräte im Cyberspace unterwegs sind und damit die Sicherheit dieser Geräte nicht mehr gewährleistet ist …
Einen weiteren Punkt möchte ich hier nennen: die Öffnung zahlreicher Ports um aus dem Internet auf seine Synology DS zugreifen zu können, birgt eine Riesengefahr in sich. In den Erläuterungen werden verschiedene Ports genannt, über die der Zugriff erfolgen kann. Ich möchte euch an dieser Stelle noch einmal dringend empfehlen, auf euer Heimnetzwerk ausschließlich per VPN aus dem Internet zuzugreifen. Als Einstieg/Hilfe findet ihr unter Downloads eine Anleitung zur Einrichtung eines VPN mit der Fritz!Box per IPSec bzw. wenn ihr lieber den VPN-Server der Diskstation nutzen wollt, VPN über die DS per OpenVPN. Der zweite Teil bezieht sich zwar auf ownCloud, beinhalted aber die grundsätzliche Vorgehensweise zur Einrichtung aller erforderlichen Komponenten. Beide Texte beziehen Clients unter Linux, Android und Windows mit ein.
Natürlich wird damit auch keine 100%ige Sicherheit erreicht, aber eine weitaus höhere Sicherheit als über den Standardzugriff per http oder https.