焦點觀察：我看這次群暉的 SynoLocker 入侵事件

網誌原文：http://blog.mowd.tw/index.php?pl=1071
=======================================


這次 SynoLocker 造成的災情，背後的原因在所有人的抽絲剝繭之下也逐漸水落石出
這個惡意程式利用的是早在去年 12 月就被群暉修正的漏洞
透過這個漏洞，駭客得以未經授權進入 NAS，加密檔案進行勒索
由於使用的是安全性漏洞，所以不論在 NAS 上設定了多複雜的密碼、多嚴格的自動封鎖規則都是沒有用的

「為什麼去年 12 月就發佈的更新，使用者居然不知道？」
這的確是個好問題，姑且不論根本沒有在看信的使用者
群暉在每次發佈系統安全性更新時，都會寄信提醒使用者更新
即使使用者沒有收到來自群暉的信件，在登入 DSM 時，右上角的提醒視窗也會跳出更新通知
於是問題就變成了

「為什麼使用者不更新到最新版的 DSM？」
會購買 Synology NAS 的人，並非人人都是 Power User
對資訊方面一竅不通的使用者大有人在
另一方面，論壇上提到自己更新失敗機器變磚的案例也不少
雖然會上來回報的使用者永遠都是有發生問題的
沒問題的都不會上來反映
但是這樣更新失敗的案例恐怕也會影響其他人更新的意願

從 DSM 設計角度來講，可以讓人感覺到群暉在很多地方都是以工程師思維來考量，而非站在一般使用者的角度來設計
如果群暉能夠在出廠時將機器設定為自動更新，但提供手動關閉的選項
至少群暉無法掌控的安全性問題就可以解決了
剩下的升級變磚問題起碼群暉自己能夠掌握

但群暉現在並不是採取這樣的做法
完全將升級的決定權交到了使用者的手上
一般使用者不知道可以更新
部分 Power User 怕變磚不敢隨便更新，也因此造成了這次的災情

另外不少人也在 Synology 的粉絲團質疑事件處理慢半拍
許多這次 SynoLocker 的受災戶也覺得群暉並沒有盡到提醒的義務，在機器中標之後也沒有提供應有的解決方案
如果 Mowd 是普通消費者，站在受災戶的立場，一定也會有相同反應
不過在 8/3 災情傳出之際，相信群暉自己也不知道發生了什麼事
必須要搜集使用者的回饋，進一步分析之後才能釐清問題發生的原因
所以直到 8/6 終於有來自群暉的公告
「Synology® 建議用戶更新，防止勒索軟體 SynoLocker 影響舊版本 DSM」

還有人甚至猜想會不會是 QuickConnect 的服務被入侵，所以才會造成如此嚴重的災情
否則駭客怎麼能夠知道我的 NAS IP？
別鬧了，透過萬能的搜尋引擎就可以找到所有 Synology NAS 的連線方式
舉例來說在 Google 輸入關鍵字「inurl:5000/webman/index.cgi」
馬上能夠搜出上萬筆 Synology NAS 的 IP 以及網址
特別是這次 SynoLocker 根本不用登入，只要你的 DSM 是 4.3-3810 以下，一連線馬上就被入侵了

最後，這次 SynoLocker 的災情，應該是暫時告一段落了
但是會不會有下次誰也不知道
系統漏洞人人有，只是今天群暉比較衰被駭客拿來加密檔案
唯有時常注意安全性更新，並升級到最新版本，才能夠避免類似資安議題一再發生