网志原文：http://blog.mowd.tw/index.php?pl=1071
===============================================
这次 SynoLocker 造成的灾情，背后的原因在所有人的抽丝剥茧之下也逐渐水落石出
这个恶意程式利用的是早在去年 12 月就被群晖修正的漏洞
透过这个漏洞，骇客得以未经授权进入 NAS，加密档案进行勒索
由于使用的是安全性漏洞，所以不论在 NAS 上设定了多复杂的密码、多严格的自动封锁
规则都是没有用的
“为什么去年 12 月就发布的更新，使用者居然不知道？”
这的确是个好问题，姑且不论根本没有在看信的使用者
群晖在每次发布系统安全性更新时，都会寄信提醒使用者更新
即使使用者没有收到来自群晖的信件，在登入 DSM 时，右上角的提醒视窗也会跳出更新
通知
于是问题就变成了
“为什么使用者不更新到最新版的 DSM？”
会购买 Synology NAS 的人，并非人人都是 Power User
对资讯方面一窍不通的使用者大有人在
另一方面，论坛上提到自己更新失败机器变砖的案例也不少
虽然会上来回报的使用者永远都是有发生问题的
没问题的都不会上来反映
但是这样更新失败的案例恐怕也会影响其他人更新的意愿
从 DSM 设计角度来讲，可以让人感觉到群晖在很多地方都是以工程师思维来考量，而非
站在一般使用者的角度来设计
如果群晖能够在出厂时将机器设定为自动更新，但提供手动关闭的选项
至少群晖无法掌控的安全性问题就可以解决了
剩下的升级变砖问题起码群晖自己能够掌握
但群晖现在并不是采取这样的做法
完全将升级的决定权交到了使用者的手上
一般使用者不知道可以更新
部分 Power User 怕变砖不敢随便更新，也因此造成了这次的灾情
另外不少人也在 Synology 的粉丝团质疑事件处理慢半拍
许多这次 SynoLocker 的受灾户也觉得群晖并没有尽到提醒的义务，在机器中标之后也没
有提供应有的解决方案
如果 Mowd 是普通消费者，站在受灾户的立场，一定也会有相同反应
不过在 8/3 灾情传出之际，相信群晖自己也不知道发生了什么事
必须要搜集使用者的回馈，进一步分析之后才能厘清问题发生的原因
所以直到 8/6 终于有来自群晖的公告
“Synology® 建议用户更新，防止勒索软件 SynoLocker 影响旧版本 DSM”
还有人甚至猜想会不会是 QuickConnect 的服务被入侵，所以才会造成如此严重的灾情
否则骇客怎么能够知道我的 NAS IP？
别闹了，透过万能的搜寻引擎就可以找到所有 Synology NAS 的连线方式
举例来说在 Google 输入关键字“inurl:5000/webman/index.cgi”
马上能够搜出上万笔 Synology NAS 的 IP 以及网址
特别是这次 SynoLocker 根本不用登入，只要你的 DSM 是 4.3-3810 以下，一连线马上
就被入侵了
最后，这次 SynoLocker 的灾情，应该是暂时告一段落了
但是会不会有下次谁也不知道
系统漏洞人人有，只是今天群晖比较衰被骇客拿来加密档案
唯有时常注意安全性更新，并升级到最新版本，才能够避免类似资安议题一再发生