飞牛 OS(fnOS)的 NAS 用户们,此次的系统更新你一定要装配。
前段时期,飞牛爆出了一个十分严重的安全问题:有用户发现飞牛 OS 存在一个 0day(厂商尚未发现,黑客不错径直使用)的高危谬误。凭证社永别析,这统统径穿越谬误不错在未授权的情况下,探访包括系统成就文献在内的 NAS 上的统统文献。
用一句话来说,便是在黑客手里,你的 NAS 也曾成了一个莫得密码的「公开盲盒网盘」:黑客念念开就开,念念看就看。
图片来源:飞牛fnOS
针对这一问题,飞牛方面当先的酬金倒黑白常粗拙,仅仅让用户别走 HTTP 明文探访建造。天然了,在问题曝光并扩散后,飞牛也通过后台更新的样式,暗暗把谬误补上了。但很显然,这种近乎一火羊补牢的作念法没能劝服用户,而暗暗更新不发公告的作念法在那时也引起了不少用户的反感。
而这起针对 NAS 的事件,也让不少东谈主开拔点关怀 NAS 的信息安全问题。毕竟全球之是以遴聘请 NAS,实践上便是念念把信息以一种比公开网盘更可靠的样式保存。若是我方家里的 NAS 也被黑客开盲盒,那就性价比而言咱们还不如径直买 10TB 的网盘。
那么咱们又该若何确保我方 NAS 的数据安全呢?
Q1:除了飞牛的案例,NAS 还有哪些潜在的信息安全问题?
除了基于 0Day 谬误的未授权径直探访外,诞妄的端口或权限成就,甚而是与 NAS 同网段的其他建造的安全谬误,相似不错导致 NAS 的信息显露。
图片来源:飞牛fnOS
一般来说,NAS 的最大安全隐患来源于高傲在公网的端口。好多用户在装配 NAS 时,为了肤浅汉典探访,会开启端口映射、UPnP 自动盛起首口,甚而径直把照顾界面高傲在公网。这种情况下,唯有账号密码强度不够,或者存在弱口令,暴力破解仅仅时期问题。
而从数据安全的角度看,除了相对无感的数据败露,数据勒诈相似亦然 NAS 的常见挟制。近几年针对 NAS 的勒诈报复并不迥殊,黑客会诈欺系统谬误或弱密码入侵建造,然后对文献进行加密,再留住勒诈信息,条件用户支付赎金。
但在雷科技看来,NAS 居品的确的安全风险在于 NAS 的系统更新频率较低。四肢一个静默建造,NAS 不像手机、PC 那样经常辅导升级,甚而不少用户为了保证 NAS 全天在线,根底不开启 NAS 的安全更新功能,买且归后就一直运行原始版块,几年不更新。
关于这些「清朝老兵」,唯有系统里存在已公开谬误,就可能被自动化扫描器具盯上。
终末是权限诞生过宽的问题。大多数家用 NAS 会开启 FTP、SMB、WebDAV 等奇迹,但很少东谈主会的确关怀 NAS 的账号权限,平淡都是统统东谈主共用一个超等照顾员账号。一朝网内某个建造被入侵,整台 NAS 的数据都可能被拖走。
说到底,NAS 的风险不在于它是不是飞牛,而在于它实践上是一台「持久在线的小奇迹器」。唯有奇迹器持久在线,就意味着持久高傲在风险之中。
Q2:我便是个东谈主用户,信息不值钱,黑客也会盯上我吗?
会。
事实上,黑客简略率不会「特别盯上你」,而是自动化扫描统统东谈主。目下的大多数报复,并不是黑客手动挑选办法,而是通过剧本扫描全网盛起首口,发现可诈欺谬误就批量入侵。对报复者来说,你是不是个东谈主用户不紧要,唯有你的建造能被诈欺,便是价值。
举个例子,入侵一台 NAS ,黑客起首不错取得你的统统数据。其中个东谈主相片、身份证扫描件之类的个东谈主信息不错打包卖钱。其次,黑客不错锁定你的数据,唯有有一部分东谈主知足付赎金「解锁」,黑客就有钱赚。
图片来源:绿联NAS
{jz:field.toptypename/}但即使你的 NAS 长篇大套,被黑客入侵的 NAS 不错被当成「肉鸡」。目下 NAS 的成就越来越好,有的品牌甚而径直用一两年前的老酷睿作念 CPU。对黑客而言,这些高性能 NAS 也能用于 DDoS 报复或挖矿。实在不行也能用来转发数据,当捏造节点。
也正因 NAS 的风险远不啻「数据败露」,开云尽管好多东谈主误觉得我方的数据不紧要,在自动化报复期间,统统 NAS 都有被入侵的价值。
Q3:插件也会带来安全隐患吗?
会,况且风险时常更散失。
NAS 的生态越来越丰富,不少用户会装配第三方插件,这些插件有些来自官方商店,有些来自社区开拓者。
问题在于,部分社区插件的安全性自身就存疑。好多插件为了运行肤浅,会径直使用照顾员权限运行。一朝插件存在谬误,等于给黑客开了一个后门。而社区插件若是开拓者罢手珍藏,谬误就可能持久存在。
图片来源:群晖
更现实的小数是,好多用户会为了下载或影音而开启额外端口和外网探访权限。插件不是问题自身,但插件带来的权限彭胀和高傲面扩大,才是的确的隐患。
换句话说,你装的每一个插件,都是在给 NAS 加多一个潜在报复面。
Q4:那若是我把网线拔了,备份数据就安全了?
并非如斯。
把网线拔掉(断外网),只可间隔网罗报复,但不等于数据安全。
举个例子,大多数 NAS 在运行化时都会条件用户遴聘 RAID 模式。但 NAS 最常见的误区之一便是把 RAID 当成备份。时期上,RAID 的作用是赞助容错智商,比如一块硬盘损坏后数据还能重建,但它并不行败北误删除、病毒加密、系统崩溃等问题。若是你误删一个文献,RAID 会很诚挚地把「删除动作」同步到统统硬盘。
其次是硬盘老化。好多东谈主组好 RAID 后几年不动,一朝某块硬盘出现坏谈,在重建历程中其他硬盘也可能因为老化同步出问题,导致阵列崩溃。
图片来源:群晖
但即使你不组 RAID、也用新盘,若是 NAS 固件从一开拔点就有问题,数据风险依然存在。不久前某品牌的 NAS 就出现过系统升级会清空存储池的情况——即使你王人备按照厂商的条件去作念,数据也有丢失的可能。
时期上,的确安全的信息备份应该校服「321」原则,即:三份数据,存储在两种不同介质,其中一份异域保存。
Q5:若何安全诞生 NAS?
在数字安全鸿沟中,从来都莫得「一键安全模式」。但就 NAS 来说,念念保住数据安全,最灵验的样式如故关闭不消要的端口映射和奇迹;若是莫得汉典探访需求,就不要把照顾端口高傲到公网。若是确切需要公网探访,最佳也用对应品牌提供的代理或穿透奇迹,尽量不要径直把 NAS 放在公网环境下。
照顾完外部探访的问题,咱们再来聊聊 NAS 的账户问题。念念保险数据安全,NAS 必须启用强密码和双重考证,同期将我方日常使用的账户与超等照顾员永别开来,更不要统统东谈主共用吞并个账户。往日那种东谈主东谈主共用吞并把全能钥匙的作念法在,刻下的网罗环境下风险普遍。
终末,在品牌可靠、自若的前提下,雷科技漠视全球尽可能实时更新系统和插件。即使为了安全不装配系统更新,也要实时手动补上安全更新。哪怕厂商更新样式不够透明,也要养成依期查验版块的风俗。
图片来源:绿联NAS
天然了,念念保住数据,雷科技如故漠视全球定时作念好的确的数据备份。紧要数据至少保留一份颓唐离线备份,比如用迁移硬盘的冷备份,或者依期同步到另一台建造或云霄。
说到底,飞牛 OS 此次事件,既是一次危境,亦然一次给国内 NAS 玩家的辅导。从「黑群晖」到目下国产 NAS 期间,国内 NAS 群体持久带有较强的小圈子属性和「好处」的标签。和熟悉的营业 NAS 比拟,国内「我方动手」的作念派也不免会在信息安全方面带来疏忽。
但从好的方面看,跟着 NAS 认同度的连续高潮,咱们也能看到越来越多品牌开拔点投身 NAS 品类。和往日黑群晖、我方搭 FreeBSD 奇迹器的作念法比拟,这些商用 NAS 固然性价比不一定高,但在安全方面也确确乎实为小白用户提供了一定的保险。
说到底,在数字期间,NAS 里的数据自身有时值钱。但四肢连通内网和外网、同期搭载无数过错数据的计较节点,NAS 一朝失去胁制,代价可能无法探讨。与其过后恼恨,倒不如从今天开拔点,把 NAS 的数据安全落实到实处,看好个东谈主网罗数据的「金库大门」。
备案号: