Update Malwareremover manuell?

  • Hi,

    meine NASes sind in der Fritzbox für Internetzugang geblockt.

    Also gibt es unter Apps auch nie ein Update.

    Wenn ich ein Firmwareupdate durchführe, dann schalte ich die NASes frei. Da kommen dann auch Updates für Apps.

    Weil wieder Ramson unterwegs ist, würde ich das Freischalten nicht mehr machen wollen.

    Gibt es eine Möglichkeit Updates von Apps, speziell Malwareremover, auch manuell zu machen?
    Und wie bekomme ich raus was aktuell ist?

  • meine NASes sind in der Fritzbox für Internetzugang geblockt.

    wow, da ist aber jemand penibel...


    Gibt es eine Möglichkeit Updates von Apps, speziell Malwareremover, auch manuell zu machen?

    ja...für MR: https://www.qnap.com/de-de/app_center/con_show.php?op=showone&internalName=MalwareRemover&version=4.6.0.0&II=443&qts=4.4.3&seq=56&os=qts


    oder allgemein hier: https://www.qnap.com/de-de/app….3&cat_choose=More&II=438

    Und wie bekomme ich raus was aktuell ist?

    hierfür MR: https://www.qnap.com/en/app_re…app_choose=MalwareRemover

    ansonsten musst Du Dich durch die Changelogs deiner Apps forsten...

  • Nuja... Manch einer lässt alles in sein Netz bzw QNAP rein weil ihm das Sicherheitsrisiko nicht bewusst oder egal ist.

    Alle anderen sorgen dafür, dass nichts reinkommt... Und du gehst noch einen Schritt weiter, was ich prinzipiell gut finde... Es stellt sich nur die Frage wie es tatsächlich auf aktuelle Gefahren wirkt und ob deine Restriktion Not tut. Ich weiß es nicht und finde es grundlegend gut, diese Restriktion zu haben. Daher... Wow...

  • Naja, solange keine Ports im Router Richtung NAS offen sind, halte ich das Risiko für sehr gering das da was von außen aufschlägt. Es sei denn Dein Rechner ist infiziert aber da nützt die Sperre in der FB auch nix. :)

  • Naja, solange keine Ports im Router Richtung NAS offen sind, halte ich das Risiko für sehr gering das da was von außen aufschlägt.

    Wenn ich Zeug im Internet zeigen will, dafür hab ich Webspace.

    Jede Sekunde auf die NAS zugreifen muss ich auch nicht.

    Bei Bedarf gehe ich mit VPN auf mein Netzwerk über einen PC/Laptop.

    Auf dem Handy hab ich kein VPN.

    Damit gibt es halt keinen Grund warum die NAS ins Internet sollte.

    Beim Firmwareupdate lade ich Datei selbst runter und prüfe MD5. Ich speichere die ja auch.

    Na gut, danke tiermutter.

    Dann muss ich eben ab und zu selbst nach der Version suchen.

    So viele Apps hab ich ja nicht.


    Natürlich ist es komfortabel und schnell, wenn man jemand ein Foto zeigen will und dann wäre es schon nicht schlecht wenn man direkt auf die NAS daheim kommt.

    Aber bisher ist noch keiner gestorben, weil es nicht ging.

  • Kann man so machen, ob das aber eine gute Strategie ist, bezweifle ich, denn manuelles Patchmanagement hat was mit Patchen nach Zufall zu tun.


    Du könntest das NAS ja auf die Update Server zugreifen lassen und alles andere unterbinden.


    Die bisherigen erfolgreichen Angriffe auf QTS System waren durch QNAP Dienste ermöglicht worden und teilweise waren die Updates schon raus, als die Welle los rollte, auf die ein direkte Zugriff per NAT oder direkt ermöglich wurde.

    Ich halte daher eine schnell und zuverlässige Prüfung auf aktuelle Firmware und Apps für eine gute Sicherheitsstrategie.


    Mit der passenden Filterliste auf der Firewall, blockst du dann auch bekannte C&C Server und dann kann auch deinen normalen Clients weniger passieren.

    Denn auch wenn du den Schadecode startest, laden die ja inzwischen immer das richtig böse erst nach und wenn das dann blocked ist, hast du gute Karten aus der Nummer noch mal raus zu kommen.


    Bei uns haben Server auch keinen direkten Zugriff auf das Internet, brauchen die auch nicht, dafür gibts Patch Proxys die diese mit allen notwendigen Updates versorgen.

  • Crazyhorse

    Ich denke, ist für den Laien dann doch etwas komplex. Da ist dann doch wieder einiges an Wissen erforderlich. Wenn das NAS überhaupt nicht ins Internet kann gibt es auch keine Verbindung mit dem C&C Server und auch keine Herunterladen von zusätzlicher Schadsoftware, wenn mal etwas durchrutschen sollte, auch wenn dies ohne Internetverbindung des NAS wohl gegen null geht. Da ist die Gefahr einer Schadsoftware auf dem PC, die die verbunden Netzwerk-Laufwerke des NAS mal eben mit in die Mangel nimmt viel größer. Da kann aber auch ein aktuelles QTS samt Apps nichts dagegen machen.

  • Bei uns haben Server auch keinen direkten Zugriff auf das Internet, brauchen die auch nicht, dafür gibts Patch Proxys die diese mit allen notwendigen Updates versorgen.

    Was sind Patch Proxys? Sind das Appliances für das Patchmanagement? Sind das Standardwebproxies mit spezieller Filterung auf Patchserver? Sind das Softwareagenten welcher Art Patchmanagementsuite die auf welcher Standardhardware aufgespielt und aktiviert wird? Oder baut man sich diese komplett selbst und verwendet dazu entsprechende Softwarebibliotheken, wie ich sie schon vor über 25 Jahren gelesen habe (Socks)? Und in wie weit muss dann was auf den Servern und NAS an deren Konfiguration geändert werden, wo ich noch am ehesten so eine Konfigurationsmöglichkeit eines Proxys für den Internetzugang kenne?

    Ich denke, ist für den Laien dann doch etwas komplex.

    Wer ist denn noch Laie, der sein QNAP NAS selbst administriert?


    Verstehe schon, dass Laien auch auf Grund von Werbeaussagen und eigenen Bedürfnissen zum Kauf eines QNAP NAS greifen. Aber wenn sie dann Laien bleiben, haben sie wohl jemanden gefunden, der sich um die Einrichtung und Administration kümmert, zumindest Anfangs, sei es kommerziell, sei es aus dem Bekanntenkreis.


    Ich jedenfalls verstehe etwas von Proxys, kenne aber noch nicht den Unterschied zwischen denjenigen, die ich kenne, und Patch Proxys.

    Da ist die Gefahr einer Schadsoftware auf dem PC, die die verbunden Netzwerk-Laufwerke des NAS mal eben mit in die Mangel nimmt viel größer.

    Das sehe ich genauso und verstehe daher das Sicherheitskonzept oder -empfehlungen mancher Forenteilnehmer nicht.

  • Das ist bei uns ein Cent OS welches die Pakete laden darf und dann anderen internen Systemen diese bereitstellt.

    Wie ein Wesus bei Windows.


    Da wird jedes Paket auch nur 1 mal geladen und dann intern weiter verteilt.

    Mit Versatz zwischen laden und freigeben kann man dann auch das eine oder andere Problem vermeiden was bei direkter Installation eines Paketes entsteht was wegen Problemen zurückgezogen und überarbeitet wird.

  • Das sehe ich genauso und verstehe daher das Sicherheitskonzept oder -empfehlungen mancher Forenteilnehmer nicht.

    Der Angriffsvektor kann auf beide Seiten abzielen: PC und NAS. Nur eine Seite abzusichern ist auch nicht 100%ig sicher. Aber was ist schon 100% sicher. Auch Sicherheit ist immer ein Abwägen von verschieden Vor- und Nachteilen.

  • Sicherheit muss Verhältnismäßig sein.

    Sprich für Amazon darf es auch das IBM Immune System sein.

    Für nen Mittelständler eine UTM und für die kleine Bude ist eine sense mit bfblockerng schon das richtig gut, aber meist eine Fritz nich Stand der Technik.


    Denn was nützt es wenn eine Firma die nur 1mil Umsatz macht ihren ganzen Gewinn in IT Sicherheit steckt und dann Insolvenz melden muss.


    Aber wenn Facebook hops geht weil die dafür kein Geld ausgeben haben aber Mrd. $ Gewinn ausweisen, rollen Köpfe. Und das zurecht.


    Aber bei uns muss erst ein Klinikum wie in Düsseldorf Offline gehen bevor jemand merkt das auch ein Krankenhaus inzwischen ein IT Unternehmen ist und diese nicht nur als lästige Kostenstelle zu verstehen ist.


    Jetzt hat es leider sogar einen Patienten das Leben gekostet. Das laste ich persönlich aber nicht dem Hacker an, sonder der Geschäftsführung die nicht dafür gesorgt hat das in so einem wichtigem Bereich auch alles ohne IT funktioniert.


    Scheint als basieren IT Ausfallkonzepte immer noch auf IT.

    Das ist in Zeiten von VoIP sogar so weit, das nicht Mals mehr das Telefon funktioniert.

    Sprich man wird 100 Jahre zurück versetzt.


    Kann sich aber scheinbar niemand vorstellen, bis es dann doch zum GAU kommt.

    Wie immer, Titanic Prinzip.

  • Das ist in Zeiten von VoIP sogar so weit, das nicht Mals mehr das Telefon funktioniert.

    Das ist heutzutage allerdings ein großes Manko, aller wird übers Netz abgewickelt.

    Bösartig und überspitzt (!) könnte man sagen, das nicht einmal der letzte Weltkrieg es geschafft hat, das Telefonnetz in Deutschland derart zu (zer)stören, das keine Kommunikation mehr möglich war.

    Heutzutage reicht da der Ausfall eines Routers, Gateways oder oder Servers, um die Kommunikation großflächig zu beeinträchtigen.

    Vor Einführung von VoIP gab es in den Unternehmen, mit denen ich in Verbindung stand, so gut wie keinerlei Ausfälle des Telefons, Ausnahme war der berüchtigte Bagger, der an falscher Stelle gebaggert hat 8o.

    Seit VoIP ...

    Es ist besser geworden, aber tritt immer noch viel zu häufig auf.


    Solange es geht, drücke ich mich noch vor der Umstellung auf VoIP.


    Gruss

  • Ja dann viel Spaß bis zum 31.12.2020, das ist jedenfalls bei uns die Deadline für die alten Anlagenanschlüsse.


    Bei gescheiter Struktureller Sicherheit ist das auch alles sicher zu betreiben.

    Aber das kostet halt Geld, 2 Firewalls als HA Cluster und vor allem jemandem der diese wartet und nach strengem Konzept einrichtet.


    Da zahlst dann halt Dienstleistung oder gleich eine ganze Stelle.

  • Jetzt hat es leider sogar einen Patienten das Leben gekostet. Das laste ich persönlich aber nicht dem Hacker an, sonder der Geschäftsführung die nicht dafür gesorgt hat das in so einem wichtigem Bereich auch alles ohne IT funktioniert.

    Das sehe ich anders. Natürlich liegt es in der Verantwortung der Geschäftsleitung für Sicherheit zu sorgen. Aber: Es gibt einfach Dinge, die tut man nicht, die sind Tabu, auch für Hacker, oder sollten es zumindest sein. Und dazu gehört, dass man auf Leute die schon am Boden sind / liegen nicht auch noch tritt. Und dazu gehören nun mal alle die eine medizinischen Einrichtung benötigen. Es wurden ja auch Hackangriffe auf Entwicklungseinrichtung für Corona Medizin gefahren. Und wo gehen kranke Hacker hin? Nein, für so etwas kann ich kein Verständnis aufbringen. Für solche Hacker würde ich was weiß ich für eine Strafe einführen.

    Solange es geht, drücke ich mich noch vor der Umstellung auf VoIP.

    Gerade vor ein paar Wochen umgestellt. Und ja, gibt noch so einige Dinge die Problem verursachen, in erster Linie der Benutzer. :D

  • Aber: Es gibt einfach Dinge, die tut man nicht, die sind Tabu, auch für Hacker, oder sollten es zumindest sein. Und dazu gehört, dass man auf Leute die schon am Boden sind / liegen nicht auch noch tritt. Und dazu gehören nun mal alle die eine medizinischen Einrichtung benötigen.

    Und woher sollen Hacker aus den Weltsprachen Russisch und Chinesisch wissen, ob hinter einem komischen Zeichensalat, den die alte Weltordnung des 20.Jahrhunderts lateinisches Alphabet nannte, eine medizinische Einrichtung ist, und ob diese sich auch an die Sicherheitsregulierung von Medizingesetzen und -verordnungen gehalten hat. Es soll Hacker geben, die glauben sogar, dass sich medizinische Einrichtungen an die Medizingesetze und -verordnungen halten! Habe jetzt keine Ahnung, wie lange frühere Kollegen gebraucht haben, um die Zulassung ihres Medizingerätes für den chinesischen Markt zu erhalten. Die chinesischen Vorschriften waren noch nicht in die Firmenrichtlinien diesen Weltkonzerns integriert, im Gegensatz zu den Vorschriften für USA, EU und Japan. Und ab einer bestimmten Größe von Einrichtung gehören Pentests zu diesem Pflichtrepertoire. Andererseits lese ich auch von Systemadministratoren von Medizineinrichtungen aus den USA, in denen Pentests gemacht werden, aber noch kein Sicherheitskonzept existiert, das damit überprüft würde.

    Für solche Hacker würde ich was weiß ich für eine Strafe einführen.

    Diese Strafen sind bereits festgelegt in deutschen Gesetzeswerken. Diese machen m.W. auch keinen Unterschied zwischen medizinischen Einrichtungen und anderen Organisationen. Für nationale kritische Infrastrukturen hat der Gesetzgeber entsprechend hohe Sicherheitsanforderungen definiert. Und dazu zählen größere, medizinische Einrichtungen, m.W. seit der 1.Novellierung der entsprechenden Verordnung vor einigen Jahren. Mit der Verhängung entsprechender Strafen wird es schon schwieriger, weil dazu erst die Täter ermittelt und vor Gericht gestellt werden müssen. Und wenn diese ihre Tat nicht in Deutschland begangen haben, kann es schwierig werden, mit einem internationalen Haftbefehl und Auslieferungsverfahren. Und wenn die Täter zu einem kriminellen Netzwerk gehören, kann es sein, dass das zuständige deutsche Gericht ebenfalls Opfer eines Hackerangriffs wird, und wie im Fall Berlins dann monatelang ohne EDV auskommen muss.

  • Wenn du ein Pen Test auf ein Meddevice fährst, darfst du das nicht mehr für die Behandlung nutzen!

    Es muss dann vom Herdteller neu zertifiziert werden oder du entsorgst es.

    Das dann unentdeckte Lücken in den Dingern schlummern ist klar.


    Woher soll der Hacker wisse das hier ein Krankenhaus gekillt wird wenn er nen NetScaler per Bot knackt?

    Ggf. hat er ja auch nur das AD erwischte und gekillt aber doof halt das KIS System usw. auf dem AD aufsetzen oder auf Clients aufsetzen die im AD hängen.


    Das Gericht ist doch immer noch Offline oder?

    Der Vorfall ist ja auch erst 1 Jahr her.

  • Das Gericht ist doch immer noch Offline oder?

    Soweit ich weiß, nein. Ab Ende Februar gingen wohl die ersten neu aufgesetzten Rechner des Kammergerichts Berlin wieder online, unter neuem Betreiber. Bis Ende März sollte die ganze Infrastruktur neu ausgerollt sein. In wie weit der Lockdown dann noch zu welchen Verzögerungen geführt hat, weiß ich nicht. Er dürfte aber nicht mehr bis heute andauern.

    Wenn du ein Pen Test auf ein Meddevice fährst, darfst du das nicht mehr für die Behandlung nutzen!

    Aber soweit ich verstanden habe, scheint in den USA für medizinische Einrichtungen (auch kleiner als ein Mitglied der nationalen, kritischen Infrastruktur) wohl eine Pflicht für wiederholte Pentests zu existieren, auf die Infrastruktur und Organisation, nicht gezielt auf ein einzelnes Gerät. Und was ich dazu an Stellungnahmen gelesen habe, scheint es wohl einige Einrichtungen zu geben, die dies planlos machen, weil es eben Pflicht sei, während andere zumindest dies in einem Konzept erledigen. Das bewahrt wohl nicht vor stumpfsinnigen Anforderungen und Stellungnahmen durch die dortigen Aufsichtsbehörden.


    In Deutschland weiß ich nicht, in wie weit Pentests verpflichtend sind oder lediglich eine Option darstellen für medizinische Einrichtungen der nationalen, kritischen Infrastruktur. Sicherheitsaudits sind m.W. für die Betreiber in Deutschland Pflicht. Jedenfalls sind in Deutschland ja einiges an Vollmachten und Verträgen erforderlich, um überhaupt einen Pentest durchführen zu dürfen. Und darin sollte geregelt sein, was erlaubt ist, obwohl der Gesetzgeber (unautorisierte) Pentests unter Strafe gestellt hat, m.W. vor mehr als einem Jahrzehnt. Für die Hersteller medizinischer Geräte in Deutschland ist m.W. Pentest auch eine Option, keine Verpflichtung. Ich hatte mich kurz nach Aufnahme von Großkrankenhäusern in die nationale Infrastruktur am Rande einer IT-Sicherheitsmesse mit dem Präsidenten der IT-Leiter von (Groß-) Krankenhäusern unterhalten. Da war Sicherheitsaudit kein Thema für ihn, weil er das Ergebnis schon vor Durchführung kannte, und sich von allen Ausrüstern im Stich gelassen fühlte. Und als ich mit dieser Info im Produktmanagement eines Herstellers nachfragte, für den ich als Zeitarbeiter damals tätig war, in wie weit entsprechende Anforderungen bereits in öffentlichen Ausschreibungen aufgenommen wurde, antworteten mir diese, dass dies bislang nicht der Fall sei. Das war alles innerhalb des ersten Halbjahres nach Aufnahme in die Verordnung. Was sich seither geändert hat, habe ich nicht mehr mitbekommen.

    Einmal editiert, zuletzt von chef1 ()

  • dr_mike

    Hat das Thema geschlossen.