Udział w programie Security Bug Bounty mogą wziąć eksperci z całego świata. Ci, którzy jako pierwsi wykryją luki w produktach i usługach internetowych firmy Synology, uzyskają finansową gratyfikację. Przedmiotem badań w ramach programu mogą być tylko finalne, oficjalnie udostępnione wersje produktów (wyłączono z niego wersje beta). Wykryty problem musi być opisany tak, aby możliwe było jego odtworzenie. Należy też precyzyjnie wskazać, w jaki sposób dana luka narusza bezpieczeństwo rozwiązania oraz jakie potencjalnie szkody się z nią wiążą.

Za znalezienie luki w zabezpieczeniach produktów marki Synology producent deklaruje wypłatę kwoty od 50 do 10 tys. dol. (jej wysokość uzależniona jest od charakteru wykrytego problemu oraz stopnia jego skomplikowania). Na liście produktów zakwalifikowanych do programu znajdują się systemy Disk Station Manager (DSM) oraz Synology Router Manager (SRM), stworzone przez Synology pakiety oprogramowania przeznaczone do instalacji w serwerach NAS oraz aplikacje dla urządzeń mobilnych.

Producent przeznaczył też środki na nagrody w wysokości od 50 do 2 tys. dol. dla osób, które wykryją podatność na atak w internetowych serwisach prowadzonych przez Synology, dostępnych w poddomenie synology.com.

W programie Security Bug Bounty obowiązuje bardzo restrykcyjne zastrzeżenie, że osoba poszukująca luk w zabezpieczeniach nie może dopuścić się naruszenia prawa i dobrych obyczajów. Wykluczone są takie działania jak atak typu Denial of Service (DoS) na serwer Synology lub jego użytkowników, zastosowanie metody brute-force, sztuczek socjotechnicznych itp. Nagroda nie będzie wypłacona także za luki wykryte w starszych wersjach oprogramowania lub gdy do dostępu do usług wykorzystywano nieaktualną wersję przeglądarki internetowej.

Bezpieczne systemy

Synology dba o to, aby w systemach operacyjnych instalowanych w rozwiązaniach tej marki znajdowały się wszystkie konieczne mechanizmy zabezpieczające. Ale w swoich działaniach wychodzi znacznie powyżej oczekiwań użytkowników. Oprócz tradycyjnych metod ochrony serwerów NAS, takich jak zabezpieczenie hasłem zasobów oraz uprawnień użytkowników, preinstalowane oprogramowanie zapewnia m.in. dwuskładnikową autentykację na bazie hasła i jednorazowego kodu weryfikacyjnego z aplikacji uwierzytelniającej (zainstalowanej w urządzeniu mobilnym), wykorzystującej protokół Time-based One-Time Password (TOTP). Do tego celu Synology poleca aplikację Google Authenticator, przeznaczoną dla systemów Android i iOS.

Ważną funkcją ograniczającą możliwość nieautoryzowanego dostępu lub włamania do serwera jest też automatyczne blokowanie podejrzanych zewnętrznych adresów IP po określonej liczbie nieudanych prób zalogowania się. Uwzględniane są wszystkie nieudane próby logowania przez SSH, Telnet, rsync, sieciową kopię zapasową, synchronizację folderów współużytkowanych, FTP, WebDAV, aplikacje Synology dla urządzeń mobilnych, File Station oraz system DSM.

Odpowiednio zabezpieczone zostało także oprogramowanie Synology Router Manager – system operacyjny zainstalowany na każdym routerze Synology. Umożliwia ochronę wszystkich podłączonych do sieci urządzeń przed różnego typu zagrożeniami.

Wśród wprowadzonych ostatnio do SRM funkcji na uwagę zasługuje Threat Prevention. Zapewnia dodatkową warstwę ochrony na brzegu sieci, dzięki czemu możliwe jest zabezpieczenie podłączonych do niej urządzeń IoT. Routery Synology wyposażone są także w funkcję WebVPN, dwuskładnikową autentykację, automatyczne blokowanie podejrzanych adresów IP (producent nieustannie aktualizuje ich bazę, która może być zintegrowana z mechanizmem filtrującym) oraz narzędzie do identyfikacji podłączonych do sieci urządzeń, które generują najwięcej alarmów związanych z bezpieczeństwem. Użytkownicy mogą tworzyć własne reguły ochronne, odpowiadające polityce bezpieczeństwa obowiązującej w ich firmie.

Dystrybutorami serwerów Synologyw Polsce są firmy: AB, EPA Systemy, Konsorcjum FEN i Veracomp.

Dodatkowe informacje: Przemysław Biel, Key Account Manager Poland, Synology, pbiel@synology.com