Forensisch softwarebedrijf waarschuwt voor encryptie-optie Synology NAS
Eigenaren van een Synology NAS moeten goed beseffen welke encryptie-optie ze gebruiken, anders lopen ze het risico dat een aanvaller toegang tot de data kan krijgen, zo waarschuwt Oleg Afonin van forensisch softwarebedrijf Elcomsoft. Elcomsoft ontwikkelt allerlei oplossingen om data van verschillende soorten systemen en apparaten te verkrijgen. Onder andere opsporings- en politiediensten maken gebruik van de oplossingen.
Elcomsoft biedt nog geen oplossing voor forensisch onderzoek naar NAS-systemen. Afonin besloot echter te onderzoeken wat er bij een forensische analyse van een Synology NAS komt kijken. Net als andere fabrikanten biedt Synology gebruikers de optie om data te versleutelen. Gebruikers kunnen ervoor kiezen om de encryptiesleutels in de ingebouwde Key Manager op te slaan. Deze optie zorgt ervoor dat de schijven automatisch worden gemount bij een reboot en de gebruiker niet zijn passphrase hoeft in te voeren.
"Dit ontwerp vormt ook een potentieel beveiligingslek. Zolang de sleutel en de schijven intact zijn, kan een aanvaller de data ontsleutelen zonder het bruteforcen van de sleutel", stelt Afonin. Dan is er ook nog een tweede probleem, merkt de forensisch expert op. De encryptie-passphrase van de gebruiker wordt door Synology met een andere passphrase versleuteld. Het gaat om een vooraf ingestelde passphrase die niet is te veranderen en op alle NAS-systemen wordt gebruikt.
Wanneer de gebruiker ervoor kiest om zijn eigen encryptiesleutel op de NAS op te slaan, zijn beide sleutels van het systeem te halen. Met de vooraf ingestelde passphrase kan een aanvaller toegang tot de encryptiesleutel van de gebruiker krijgen en daarmee zijn data ontsleutelen. Elcomsoft is van plan om verschillende scripts te maken waarmee de sleutels van een NAS zijn te achterhalen om vervolgens data op "koude" NAS-systemen en disk images te ontsleutelen.
"Het vertrouwen op de ingebouwde encryptie in de NAS-apparaten van Synology kan informatie in gevaar brengen, afhankelijk of de sleutel in de ingebouwde Key Manager is opgeslagen", besluit Afonin.
Note: when the key is stored on an internal hard drive, the wrapping passphrase cannot be changed. This is by design. Synology uses a single fixed, pre-programmed passphrase on all of its NAS units.
Wat is het doel van encryptie als de sleutel statisch is en bij iedereen hetzelfde is ????
Je hebt er dus niets aan., als ze de sleutel uit de firmware plukken en op internet zetten heb je er helemaal niets aan.
Juist, het heet "Security through obscurity".
Zonder het generieke default wachtwoord kon je niet van de ene naar de volgende Java versie.
Code mitigeren ging in dat geval dan niet. Overal zijn shortcuts like these.
Dit werkt voor alles zo. Weet je hoe het werkt, gaan de deuren voor je open.
Alles is zo letterlijk volledig pn*wed.
De massa slaapt, de staatshacker niet.
J.O.
Het is zinvol bij fysieke diefstal. Als je de schijven eruit haalt om via een dock uit te lezen, is de is de inhoud gecodeerd. Als je het admin account reset om in te kunnen loggen, wordt de sleutel voor automatische ontsleuteling ook gewist.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Adviseur Informatiebeveiliging
Je bent een belangrijke speler om invulling te geven aan de gemeentelijke ambities op het gebied van informatiebeveiliging. Deze ambities neem jij op in het Informatie-beveiligingsbeleid Gemeente Zoetermeer. Wil je helpen bij het verbeteren van de informatiebeveiliging in Zoetermeer en het versterken van het cyberbewustzijn binnen onze organisatie? Wacht dan niet en kom ons team informatiebeveiliging versterken!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Cyber Security Trainer
"You know that feeling after you have been to the cinema and seen an exciting movie? It's the same after this training. I can only say that this is probably the BEST TRAINING that I've ever done!!!”
Are you ready for a challenge?
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.