Asustor Asustor Deadbolt

[augerd]

bonjour a tous,


je cogite beaucoup suite à cette attaque, entre autre sur la finalité et le cout des NAS et sauvegarde

jusqu’à présent, et comme la majorité lambda des acheteurs de NAS, quelque soit la marque, c'est de ne pas perdre nos fichiers (photos, vidéos, etc ...) donc on achetait un disque externe et on copiait ... simple pour sauvegarder, mais pas forcement pratique pour relire !
donc on a lu et passer du temps à chercher une autre solution, et grâce à la baisse du prix de l'octet et a l'augmentation des capacités des disques durs, le NAS est devenu une solution pratique, et en réseau en plus ))
bon, on a tous eu des appareils configurés sans Raid pour emmagasiner le maximum ... et eu un disque qui à lâché et tout perdu !!!! bref, le Raid1 est devenu presque incontournable ...

ça c'était le monde d'avant, où les particuliers ne sont pas inconscients mais ont simplement évalués les risques de pertes assez minimes en Raid1 avec un onduleur, largement suffisant et qui ne justifie par forcement l'achat (encore) d'un autre appareil pour sauvegarder derrière
ce sont des utilisateurs pas paranoïaques et qui n'ont pas envie de se transformer en administrateur réseau !

depuis qlq mois, les hackeurs ont décidés "d'élargir leur clientèle" et s'attaquent aux particuliers avec leurs NAS grand public sous des OS dérivés de Linux Debian, et surtout beaucoup moins protégés
fin janvier c'était Qnap, fin février Asustor, et 17 jours apres, a part payer la rançon (sous toute réserve que cela serve à qlq chose) l'autre solution, c'est attendre une hypothétique récupération des fichiers infectés (

ce n'est pas une diatribe contre Asustor car je suis très content de mes 2 NAS, mais je me pose des questions sur la réactivité et le silence assourdissant:
- ou en est la récupération des fichiers infectés, dans combien de temps ?
- quelles sont la (les ) faille(s), comment les hackeurs sont entrés dans un seul de mes 2 appareils configurés identiquement ?
- d’où provient la source des ces attaques, quels pays, quels groupes ??

ce flou effrite mon capital confiance envers les 3 fabricants de NAS pour particulier, surtout qu'une des seules réponse données c'est "faite la règle des 3-2-1" .... si cette réponse est valable pour ceux qui ont les moyens d'acheter encore du matériel non infecté, elle ne l'est pas pour ceux qui ont été infecté


Dominique, dubitatif

 

[FX Cachem]

Hello @augerd

Je pense que cela pourrait être abordé dans un sujet distinct, car la réflexion va bien au-delà de Deadbolt... pour la partie attaque en elle-même. Je ne suis pas tout à fait d'accord avec toi. Tu poses aussi des questions en lien avec l'actualité pour les NAS ASUSTOR.

Tu dis "OS dérivés de Linux Debian, et surtout beaucoup moins protégés" je suis très surpris... Peux-tu détailler ?
Tu parles "les 3 fabricants" : QNAP, ASUSTOR... et le troisième est Synology ou Terramaster ? Terramaster parce qu’il a été touché également par Deadbolt ou Synology pour compléter le trio.

La question que l'on peut se poser (et tu ne l'abordes pas) : doit-on exposer son NAS avec des données sensibles directement sur Internet ?
La réponse est : NON. C'est facile à dire, mais plus complexe à mettre en œuvre. En 2022, tout le monde veut avoir ses données accessibles depuis n'importe où et n'importe quand. Donc, il faut mettre en place des solutions sécurisées, robustes et limitées... si tu veux toujours y accéder depuis Internet. Si on veut que le NAS soit un coffre-fort pour ses données : on ne le rend pas accessible sur Internet. Plus rare, mais il ne faut l'oublier : l'attaque peut venir de l'intérieur (virus sur un PC par exemple), mais je te l'accorde c'est beaucoup plus rare.

 

[shaks2022]

Hello @augerd

Je pense que cela pourrait être abordé dans un sujet distinct, car la réflexion va bien au-delà de Deadbolt... pour la partie attaque en elle-même. Je ne suis pas tout à fait d'accord avec toi. Tu poses aussi des questions en lien avec l'actualité pour les NAS ASUSTOR.

Tu dis "OS dérivés de Linux Debian, et surtout beaucoup moins protégés" je suis très surpris... Peux-tu détailler ?
Tu parles "les 3 fabricants" : QNAP, ASUSTOR... et le troisième est Synology ou Terramaster ? Terramaster parce qu’il a été touché également par Deadbolt ou Synology pour compléter le trio.

La question que l'on peut se poser (et tu ne l'abordes pas) : doit-on exposer son NAS avec des données sensibles directement sur Internet ?
La réponse est : NON. C'est facile à dire, mais plus complexe à mettre en œuvre. En 2022, tout le monde veut avoir ses données accessibles depuis n'importe où et n'importe quand. Donc, il faut mettre en place des solutions sécurisées, robustes et limitées... si tu veux toujours y accéder depuis Internet. Si on veut que le NAS soit un coffre-fort pour ses données : on ne le rend pas accessible sur Internet. Plus rare, mais il ne faut l'oublier : l'attaque peut venir de l'intérieur (virus sur un PC par exemple), mais je te l'accorde c'est beaucoup plus rare.

La réponse est : NON. C'est facile à dire, mais plus complexe à mettre en œuvre ==> bien plus que chacun pourrrait le penser. ça consiste aussi à ne pas CONNECTER son NAS à internet, parce que la prochaine mise à jour qu'il va chercher pourrait très bien contenir un malware. C'est déjà arrivé : https://www.journaldunet.com/soluti...gent-l-approche-de-la-securite-en-entreprise/
J'étais d'ailleurs très mitigé à l'idée d'installer un firmware correctif élaboré en urgence sur mes NAS Asustor qui n'avaient pas été impactés par deadbolt.

 

[augerd]

Hello @augerd

Je pense que cela pourrait être abordé dans un sujet distinct, car la réflexion va bien au-delà de Deadbolt... pour la partie attaque en elle-même. Je ne suis pas tout à fait d'accord avec toi. Tu poses aussi des questions en lien avec l'actualité pour les NAS ASUSTOR.

Tu dis "OS dérivés de Linux Debian, et surtout beaucoup moins protégés" je suis très surpris... Peux-tu détailler ?
Tu parles "les 3 fabricants" : QNAP, ASUSTOR... et le troisième est Synology ou Terramaster ? Terramaster parce qu’il a été touché également par Deadbolt ou Synology pour compléter le trio.

La question que l'on peut se poser (et tu ne l'abordes pas) : doit-on exposer son NAS avec des données sensibles directement sur Internet ?
La réponse est : NON. C'est facile à dire, mais plus complexe à mettre en œuvre. En 2022, tout le monde veut avoir ses données accessibles depuis n'importe où et n'importe quand. Donc, il faut mettre en place des solutions sécurisées, robustes et limitées... si tu veux toujours y accéder depuis Internet. Si on veut que le NAS soit un coffre-fort pour ses données : on ne le rend pas accessible sur Internet. Plus rare, mais il ne faut l'oublier : l'attaque peut venir de l'intérieur (virus sur un PC par exemple), mais je te l'accorde c'est beaucoup plus rare.

Bonjour Cachem,

- "Tu dis "OS dérivés de Linux Debian, et surtout beaucoup moins protégés" je suis très surpris... Peux-tu détailler ?" je n'ai pas fini ma phrase qui est resté dans ma tête, désolé ... : j'ai compris que ces OS sont dérivés d'une base Debian Linux qui a l'origine sont conçu pour être complètement ouvert pour que tout a chacun puisse facilement le comprendre voir l'adapter à sa sauce, donc par essence même, beaucoup plus facile à détourner qu'un OS propriétaire conçu pour ne pas être accessible au commun des "bricoleurs"

- "Tu parles "les 3 fabricants" : QNAP, ASUSTOR... et le troisième est Synology ou Terramaster ? Terramaster parce qu’il a été touché également par Deadbolt ou Synology pour compléter le trio." Synology bien sur ... cela me semblait évident vu qu'ici même ces 3 fabricants ont leur propre sous forum "perso" alors que les autres fabricants sont ensemble dans un autre sous forum !

- " La question que l'on peut se poser (et tu ne l'abordes pas) : doit-on exposer son NAS avec des données sensibles directement sur Internet ?" bah je ne l'aborde pas car on ne peut pas le couper du net ne serais ce que par les mises à jour de sécurité de l'OS !!!! sans parler des différentes applications, explique nous comment faire simple sans connexion direct avec Asustor ??
donc c'est une histoire de confiance entre l'acheteur et le fournisseur: j’achète un matériel chez X et lui fais confiance pour qu'il protège mes données, que cela soit un NAS, un ordi, un smartphone, etc ...
et pour "en 2022, tout le monde veut avoir ses données accessibles depuis n'importe où et n'importe quand" je suis pas d'accord avec toi, surtout en ayant lu ici et sur d'autres forums les commentaires des utilisateurs qui cherchent majoritairement un NAS pour protéger leurs datas en local, ceux qui vont plus loin dans l'utilisation sont beaucoup moins nombreux ... voir la majeur partie de "solution n'importe ou n'importe quand" ne connaissent même pas le monde des NAS et utilisent les cloud divers et variés beaucoup plus simple à utiliser !!

alors pour en revenir au problème Deadbolt sur Asustor, et très égoïstement au mien qui a été contaminé, et n'ayant aucune d'info fiable d'Asus, je ne peux qu'en conclure que soit le fabricant ne sait toujours pas comment c'est passé l'attaque, et l'a ça craint pour ses compétences, soit qu'il le sait et qu'il ne le communique pas sur "comment récupérer vos datas corrompus", et l'a, pourquoi ???? d'ou ma dernière phrase dans mon post précédent "ce flou effrite mon capital confiance envers les 3 fabricants de NAS pour particulier, surtout qu'une des seules réponse données c'est "faite la règle des 3-2-1"

amicalement,

Dominique

 

[nedrack]

Bonjour Cachem,

- "Tu dis "OS dérivés de Linux Debian, et surtout beaucoup moins protégés" je suis très surpris... Peux-tu détailler ?" je n'ai pas fini ma phrase qui est resté dans ma tête, désolé ... : j'ai compris que ces OS sont dérivés d'une base Debian Linux qui a l'origine sont conçu pour être complètement ouvert pour que tout a chacun puisse facilement le comprendre voir l'adapter à sa sauce, donc par essence même, beaucoup plus facile à détourner qu'un OS propriétaire conçu pour ne pas être accessible au commun des "bricoleurs"

- "Tu parles "les 3 fabricants" : QNAP, ASUSTOR... et le troisième est Synology ou Terramaster ? Terramaster parce qu’il a été touché également par Deadbolt ou Synology pour compléter le trio." Synology bien sur ... cela me semblait évident vu qu'ici même ces 3 fabricants ont leur propre sous forum "perso" alors que les autres fabricants sont ensemble dans un autre sous forum !

- " La question que l'on peut se poser (et tu ne l'abordes pas) : doit-on exposer son NAS avec des données sensibles directement sur Internet ?" bah je ne l'aborde pas car on ne peut pas le couper du net ne serais ce que par les mises à jour de sécurité de l'OS !!!! sans parler des différentes applications, explique nous comment faire simple sans connexion direct avec Asustor ??
donc c'est une histoire de confiance entre l'acheteur et le fournisseur: j’achète un matériel chez X et lui fais confiance pour qu'il protège mes données, que cela soit un NAS, un ordi, un smartphone, etc ...
et pour "en 2022, tout le monde veut avoir ses données accessibles depuis n'importe où et n'importe quand" je suis pas d'accord avec toi, surtout en ayant lu ici et sur d'autres forums les commentaires des utilisateurs qui cherchent majoritairement un NAS pour protéger leurs datas en local, ceux qui vont plus loin dans l'utilisation sont beaucoup moins nombreux ... voir la majeur partie de "solution n'importe ou n'importe quand" ne connaissent même pas le monde des NAS et utilisent les cloud divers et variés beaucoup plus simple à utiliser !!

alors pour en revenir au problème Deadbolt sur Asustor, et très égoïstement au mien qui a été contaminé, et n'ayant aucune d'info fiable d'Asus, je ne peux qu'en conclure que soit le fabricant ne sait toujours pas comment c'est passé l'attaque, et l'a ça craint pour ses compétences, soit qu'il le sait et qu'il ne le communique pas sur "comment récupérer vos datas corrompus", et l'a, pourquoi ???? d'ou ma dernière phrase dans mon post précédent "ce flou effrite mon capital confiance envers les 3 fabricants de NAS pour particulier, surtout qu'une des seules réponse données c'est "faite la règle des 3-2-1"

amicalement,

Dominique

A mon humble avis, comme sur diverses attaques ailleurs sur d'autres supports, il m'étonnerait fort que tu puisse un jour avoir un outil afin de décrypter tes données. Asustor n'a pas payé pour avoir la clé ( d'ailleurs je ne pense pas qu'ils aient été contacté par les " ravisseurs" contrairement aux utilisateurs Asustor.
Et pour essayer de trouver cette clé de chiffrement, suivant le niveau de cryptage; cela peut être tout bonnement impossible.

Pour le reste, je suis plutôt d'accord avec Fx.

Beaucoup d'objets connectés: NAS, box internet, téléphone, box domotique etc... s'appuie sur une noyau Débian, Unix etc... tu ne trouve plus aujourd'hui ( ou pratiquement plus) d'objets connectés en langage " machine", pour des questions d'interopérabilités, de facilité de mise en oeuvre et de maintenance. Le risque de Ransomware n'existe pas seulement sur les NAS , mais sur tout objet connecté ( et c'est dommage).

Pour ma part, j'ai un de mes deux NAS qui n'a aucun accès exterieur permanent. Je le laisse sur le réseau local; mais comme il me sert de backup, il ne doit pas être attaquable. Et comme il ne me sert qu'a cela; je fonctionne un peu comme les entreprises chez moi. Je peux avoir 2 mises à jour en retard; mais je m'en fiche car n'étant pas ouvert à l'extérieur , je n'ouvre pas ( ou peu ) a de potentielles attaques sur ce nas liées à des failles.

Par contre, pour penser a tout cela, c'est effectivement plus simple d'avoir un pied dans le domaine pour connaitre le périmètre des risques, et beaucoup se renseigner sur les forums et autres sites. Ce n'est pas forcément facile au départ.

PS: d'ailleurs, Merci bcp à ce forum qui aide justement à tout cela au travers de multitudes de cas d'usages et de questionnement d'autres forumeurs

 

[FX Cachem]

Hello,

bah je ne l'aborde pas car on ne peut pas le couper du net ne serais ce que par les mises à jour de sécurité de l'OS !!!! sans parler des différentes applications, explique nous comment faire simple sans connexion direct avec Asustor ??

Alors je pense qu'il y a un quiproquo... Quand je dis exposer le NAS (ou autre serveur) sur Internet, c'est le rendre accessible depuis l'extérieur lorsque tu es hors de ton domicile (mode entrée). Bien sûr, il n'est pas question ici de le couper d'internet (en mode sortie) même si c'est facilement faisable. On peut très bien avoir un NAS à son domicile en utilisation purement local et non accessible depuis l'extérieur. Comme l'indique @nedrack tu as l'esprit bien plus tranquille. Dans ce cas, il y a beaucoup moins de change qu'il soit victime d'une attaque réussie (le risque 0 n'existe pas).

et l'a, pourquoi ?

Malheureusement, je ne travaille pas chez Asustor. Je te propose de les contacter directement via le formulaire support ou via @Dami1 sur le forum. Encore une fois, si tu as les fichiers .deadbolt essaye de les renommer... ça fonctionne chez beaucoup. Pour les autres fichiers chiffrés, tu peux essayer avec TestDisk. Les versions Linux fonctionneront pour tes NAS. Par contre, il va falloir être patient. L'opération peut prendre des heures.

Je comprends ta colère et ta perte de confiance envers les NAS (ou leurs fabricants). Les utilisateurs QNAP et Asustor ont été des cibles privilégiées de ses dernières semaines (surtout le premier). Synology s'en tire bien pour le moment, mais ils ne sont pas épargnés par les tentatives. Les attaquants les ciblent en premier pour avoir de la masse (leader du secteur), puis les suivants... C'est la même chose sur PC.

Tu as raison de le rappeler, la stratégie de sauvegarde 3 - 2 - 1 est souvent la meilleure réponse (avec ou sans NAS).

 

[augerd]

hello,

merci pour tes précisions !


pour mon utilisation, le NAS est indispensable et je suis toujours satisfait de ceux que j'ai ... et surement que les autres utilisateurs d'autres marques le sont également


le problème est le changement brutal de passer de :
- "je fais ce que je peux pour sauvegarder mes datas avec un NAS" en comprenant ce qu'est un NAS, le choisir, l'acheter, configurer, etc ... suivant les différentes règles assez obscures, voir sauvegarder en dehors ...
à
- "je dois protéger mon NAS des attaques de hackeurs" en ayant respecter les regles, avoir perdu tout ou partie et des réponses très très légères du fabricant genre "respecter la règle du 3-2-1" ... perso, je me sens plutôt tout seul sur ce coup l'a (((


mon question à venir est que j'ai sauvegarder mes datas sur des HDD extérieur branché en USB sur les Asustor: est ce que je peux les restaurer par l'USB sur un NAS d'une autre marque ou pas ????


Dominique

 

[Dami1]

" tu puisse un jour avoir un outil afin de décrypter tes données. Asustor n'a pas payé pour avoir la clé ( d'ailleurs je ne pense pas qu'ils aient été contacté par les " ravisseurs" contrairement aux utilisateurs Asustor."

@nedrack : payer pour une activité criminelle? payer parce qu'on nous a attaqués? payer pour qu'on ne demande encore plus? pour recommencer? sans garantie d'avoir le sésame?
Ce rançongiciel peut affecter n'importe quel périphérique informatique. Il a affecté nos concurrents aussi (Qnap, Terramaster, auparavant un malware a aussi affecté WD qui effaçait les NAS). C'est un groupe puissant parfois derrière ces bestioles. Parfois ce sont des pays et oui.
Par ailleurs, les sociétés d'antivirus, etc. ne se tournent pas les pouces. A défaut on n'aurait pas ça par exemple https://www.avast.com/fr-fr/ransomware-decryption-tools

Enfin, ça fait 3 ans (et beaucoup plus pour @FX Cachem ) qu'on sensibilise nos clients sur les rançongiciels via des fiches du collègue ASUSTOR, des newsletters, des pages web (il y a une page web sur notre site), des tutoriaux en prodigant des bonnes pratiques dont bien évidemment la sauvegarde 3-2-1.
On ne peut pas mettre le couteau sous la gorge des clients.
Pour moi un NAS (un RAID n'est pas une sauvegarde) sans sauvegarde c'est comme rouler sans assurance. Je suis la sauvegarde 3-2-1.
Le même problème peut se présenter en cas d'incendie, cambriolage, dysfonctionnement total du Raid (tous les jour on a des RAID0 qui tombent en rade et les clients perdent tout. nos techniciens quand ils voient raid0, ils alertent. on nous envoie bouler)..
100% des NAS touchés qu'on a étudiés n'avaient pas suivi les bonnes pratiques dans leur intégralité. Oui 100%.

Et, le pire je vais te dire c'est que malgré l'attaque (lisez-bien car c'est véridique. on l'a tous les jours y compris de France via les tickets support) on a encore des refus de désactiver admin, de modifier les ports par défaut et de faire des sauvegarde... alors que dire ?

 

[nedrack]

@Dami1 .... je le sais bien, mais j'avais la flemme d'étayer , et je ne suis pas pour que n'importe qui paie ce chantage.

Les gens cherchent toujours un coupable; et il est toujours plus facile de cibler les constructeurs ( qui sont reconnaissables) plutôt que les coupables qui sont ceux qui exploitent les failles.

De toute façon, des failles existeront toujours, il faut justement en être conscient et mettre les principes de sécurité selon le niveau de criticité de la donnée en conséquence. C'est comme le principe des assurances.

 

[Dami1]

exact. il vaut mieux installer une alarme pour se prémunir d'un cambriolage qu'après

 

[shaks2022]

exact. il vaut mieux installer une alarme pour se prémunir d'un cambriolage qu'après

ça c'est autre chose. J'ai présenté mon point de vue sur la dissuasion ici. ( avec un petit appel du pied vers Asustor,on ne sait jamais ).
A l'inverse de nos bijoux de famille, on a la chance de pouvoir dupliquer nos données, et c'est ce qui permet d'avoir DEUX stratégies de sécurisation : les sauvegardes comme tu l'as très bien expliqué au dessus, et la dissuasion.
Il y a également une 3ème stratégie : tenir son firmware à jour afin de profiter de l'expertise du constructeur qui a à cœur de maintenir nos NAS protégés des failles connues.