[討論] 這次qnap中勒索之一般大眾看法?
不是不同意NAS廠商逐漸把NAS作為家用媒體中心、雲端化、取代公有雲的說法,但既然
說明書告訴消費者能把網路線直接接上數據機連結外網使用就應該要負責
畢竟我想很多第一次使用NAS的人應該不會在前端弄硬體防火牆,甚至連備份321原則都
不知道,只有這樣存放一份在NAS裡,然後中勒索就全死了
https://youtu.be/S_4p68lDWfA
這幾天在不少NAS討論社團都看到很多網管人/IT高手/資安大師出來指責消費者沒有做到備份,喜歡把NAS開對外,沒有資安常識,說NAS本來就不該當媒體中心存放重要資料,
什麼都不懂不如滾去用公有雲......, 的確他們說的都沒有錯,但是消費者就真的只能摸摸鼻子付全部的責任嗎?
昨天Qnap發了聲明稿,要消費者繼續支持QNAP,重視資安養成良好習慣,即時更新系統
,否認沒有拖半年才更新,快照被刪很合理,NAS跟電腦一樣也會中毒.......而消費者
需要的卻是Qnap如何協助中毒用戶解鎖這樣基本層面的問題
說真的要搞整套NAS的資安艦隊等級,還是俗辣一點去用公有雲好了
----
Sent from BePTT on my Samsung SM-N9860
--
放個分享器在前面沒有很難吧,大部分都是預設拒絕連
入,不會設定就內網用+官網提供的連入服務
這樣應該不太會出大事
那些社團要人去買兩萬一台的硬體防火牆,看了暈倒…
一般家庭用戶買硬體防火牆是會維護嗎 = ="
一堆人是被google政策趕鴨子上架當起NAS使用者的,你
都是要付錢的,付給google比付給綁架軟體便宜多了
更何況現在更多的威脅都來自內網。
小弟外行,NAS接在路由器後面,路由器前面是小烏龜
,用路由器硬播,這樣算安全嗎
誰讓他們要開對外
防火墻上面也是跑BSD like的作業系統,就不會被駭?
路由器本身有簡易防火牆,沒專業知識這個就夠了。
不開對外使用情境就受限啦,那買NAS幹三小
因為防火牆是firmware,且更新程序非自動,基本上只有
舊漏洞,比較不容易灌新木馬進去
^硬體類防火牆如分享器等
誒 你要說的話,QNAP這台也是firmware喔
市售NAS應該都不是用flash模式更新的,flash模式如
不自動更新可以防止新漏洞,真是長知識了
BIOS或分享器,要在poweron時刷
先分清楚木馬和bug的差別.駭客要勒索要先放進勒索程
式,這個原則上分享器沒有內建
樓上說一下QNAP的軟體不放在flash是放在哪邊?
我講的flash是usb flash drive
把要更新的程式放隨身碟,開機時刷進去
這年頭我更新ASUS分享器軟體都不用隨身碟了
那風險就增加了啊 XD
方便和風險向來是這樣的關係
哪裏增加了?
連方便vs風險這個都要吵,我不奉陪了,請自便
不是啊,你說用flash更新才叫firmware的啊
被用例子打臉就轉移話題,然後落跑
flash有兩重意思,一重是硬體機器本身儲存程式之處,
第二重是更新用的usb drive,在這裏兩個都是,第一個
不用特別提,不然你買回家開機不會動
補充完了,以上
所以用隨身碟更新才叫firmware是誰的定義?
我的定義可以嗎? 張三李四等駭客都可以放程式進去,
我比較傾向稱為software
然後線上更新等於不安全的原因也故意不說明
這還要說明? 線上更新就軟體,不需要poweron才刷的,
駭客才能輕易放他要的程式. 真的夠了,常識的東西不
需要再多討論了
線上更新不等於大家都能放程式下去,像Apple要連上
網核對簽章
重新定義firmware
有問題的是你的常識
能線上更新的前提就是有機制可以把可執行檔放進去成
為新的程式,駭客只是不走正途而以.如果你的ROM只接
受開機從flash drive來的程式,你要遠端放要操控機器
人幫忙
自動更新是去廠商固定網址抓更新檔...
抓了沒有經過重燒錄整個執行image的模式
那是更新的流程有漏洞 跟重新定義firmware是兩回事
廠商網站有問題的話,你抓下來用隨身碟燒結果一樣
更新的流程只要不是硬體式的(插碟,用特定模式按電源
開關),就是純軟體式的更新. firm之所以叫firm,有其
涵意,不然我灌了windows從此不再更動也變firmwareXD
真的笑了 重新定義firmware
真的重新定義firmware了...
沒問題,能把想法溝通清楚,如果你們認為叫重定義,那
就就叫重定義吧
你們可能沒經歷過燒PROM EPROM的年代,不瞭解古人命
名的意涵
賣老喔www 小弟TV firmware+BIOS經歷 燒過(物理)的
Firmware一開始就不是那個定義了,n年前燒主機板bio
s都不用隨身碟了
ROM可能比你刷過firmware次數多
燒主機板BIOS都不叫燒了好嗎? 那個已經是EEPROM和
flash的年代. 有燒過EPROM就知道為什麼叫firmware
firmware這個名詞很早,要瞭解精神請去看古代書籍
所以你重新定義 放在nand flash不能叫firwmare??
不要動不動說人重定義
現在的flash,和磁碟機已經快同一回事了,SSD不就是?
我打錯了, NOR flash
我寫firmware就是用最早的精神寫的,回去讀一下書再
來吵.我是懶得和你們吵
恩所以你也不知道flash有分用途..
你確實是重定義啊,我在學校學的是軟硬體中間叫韌體
標準的檢討受害者啊,廠商最無辜,最沒有責任了
你們的書讀一半,什麼叫軟硬體中間? 我的電腦棒來裏
面就附windows,是firmware嗎?
實在是很詭異,討論到後來變術語原意探尋 XD
所以你把電腦裡面的bios又忘了
不知道耶,那天我回112 cs去問教授好了
BIOS符合我的定義啊,至少我重寫BIOS是用隨身碟
那你知道bios也可以線上更新嗎? 不一定要隨身碟
firm就是變動難易度介於不能動的硬和隨便動的軟之間
可以線上更新,就超出了firm,我傾向稱為soft
所以線上更新時他叫software,用隨身碟變firmware嗎
即使bios內容一模一樣?
我從頭到尾精神是一貫的,你們回去再讀一次就瞭解
變動它(BIOS)的難易度,BIOS如果燒在ROM也不叫firm
我聽起來這像是排骨酥湯啦
PROM燒後不可變,出廠後也是硬,EPROM要照紫外光,不是
soft.
真的,不用吵這種問題.懂我一開始要講意思就夠了,我
無意說服你們.只是不希望被你們抓個字就猛打而以
補一句,在EPROM之前,ROM/PROM插在socket上而非焊死,
還是稱為firm,因為只要拿一顆新版,拔掉舊的換上新的
就更新完成
我只是沒想到可以重新定義成這樣 嚇到了而已
這樣就嚇到,那就嚇吧
這次的漏洞是NAS直接內建後門,根本不用攻破admin
恩你說得得對
所以之前講啥的設置強密碼,設存取控制根本沒效
內建漏洞勢必難以避免,只要駭客不能放加密腳本及通
那些"資安專家"又開始檢討消費者,都是馬後炮而已
知付款訊息,他們其實也不見得有興趣找一個format的
後門只為了把使用者的檔全清掉這種快感
這間公司在科技業板惡名昭彰,吃盡員工豆腐...
一種家裡廚房失火,在檢討為啥馬路邊沒消防栓的概念
那些資安專家最好查一下,這後門是不是現職/離職員工
放的
我是認為消費者先不要養成巨嬰心態比較正確啦0.0
買了不去學正確觀念 出事再來問廠商沒責任嗎? 根
本笑死 有人拿槍逼你用膩
至於解鎖也是很好笑 NAS廠商是開發NAS又不是開發勒
索病毒的 是要它解什麼鎖==?這種邏輯我也建議你用
公有雲比較好zzzz
其實不一定是離職員工,說不定他只是引入了來歷不明
的code而以. 前幾年heartbleed一般就懷疑是NSA提交
的程式[不小心]包含漏洞
這種事並不罕見,本來不知道有洞,公開更新才知道
然後利用更新時間差空檔去攻擊還沒更新的裝置。
反解密更新檔把洞找出來。
巨嬰心態?正確觀念?這些誰有教啊,資安大師又在
講笑話了,好像人人都資訊從業人員一樣,是不是有
人看到風向不對開始急了?
反正我們消費者就爛,QNAP黑名單
NAS業者不要再自行其事了,攻擊手法日新月異,跟不
上的,要不聯合起來開發共同系統,要不採用廣泛使用
的公共系統,你不是apple,別再搞專用系統了
NAS業者他們就不希望人人拿台PC灌廣泛使用的套件就
變NAS,由他們來提供turn key方案
nas的os基本上都是存在各個磁碟 做raid-1系統
那bootloader算firmware沒錯 但他不會對外
無套去嫖,不中也難
Total Solution 可以找專業資安廠商規劃,只要付錢
拖半年是被敵對媒體帶風向,也下架了,這次攻擊也
不是上述的漏洞,4/16放出更新檔,4/22駭客開始攻
擊,太多人來不及更新才會這麼大規模感染
通用pc方案只有ms那種規模有作起來啊,nas廠作下去
8成被操死
千錯萬錯都是消費者的錯 不買你家產品就沒錯了
有漏洞就是廠商的責任,扯別的護航也不能掩蓋疏失
不要說中標的不知道為何中標
我沒中標也不知道自己為何沒中標
別再講觀念了,越講越覺得你沒跟上現在情況zzzzzzzzz
現在的主要點是HBS3的問題,但是這玩意是在某個韌體
版本update的時候自動安裝,QNAP把自己寫不好的軟體
善用DMZ
讓你的NAS有漏洞你還要謝天謝地到底是多M
之前群暉不是也被中過勒索?SynoLocker
NAS 的OS漏洞,也不一定是 NAS 廠商自己捅出來了
漏洞沒人去發現,就如同薛丁格的貓一樣,介於存在與
不存在之間
這東西牽涉到善意管理,廠商賣你的就是當下沒問題的
那你跟廠商簽訂的保固契約,對於修補這一塊又是多少
範圍,也要去看看契約條款
不過倒是對品牌很傷 看到這個從此不考慮QNAP
而廠商發布漏洞修補程式,使用者又是否有立刻去更新?
功能開越多,程式碼越複雜,漏洞就是會越多
程式是人寫的,那要不要去追究負責這專案的人員疏失?
把薪水告回來,把獎金告回來.....
不然,餐廳請廚師煮菜,結果廚師煮到客人食物中毒
餐廳要負責,但餐廳賠完後,同時也要廚師負責
漏洞每家都可能會有,只要不出包就沒問題
現在出大包,廠商還一副"是你們沒資安觀念"的態度
幾年前S牌也爆發勒索案件,但人家態度跟Q天差地遠
那這樣子就知道要買哪家的 NAS 啦~~~~
我個人體驗 S 的客服都很盡責的再處理,目前感覺十
分負責,然後 Q 的客服回覆,如果我是他的用戶,大
概會吐血吧?還好前陣子要買新機,最後還是選了 S
我以後肯定是自己架freenas或重新回去架ftp 省得
被客服氣
所以分胃有結果了嗎?好期待喔
花錢買產品出事還要被嗆巨嬰 這誰受得了QQ
定價裡難道沒包含服務嗎?
不然大家都自己組用FreeNas就好了啊
還花大錢跟你買低規格產品幹麻
一起看firework~
那邊只會嗆一般消費者,明明就不少服務商的客戶也
中獎,之前Q牌的人常常在那出沒,最近集體失蹤
不是阿,就是買NAS來備份,又要備份是哪來那麼多空
間可以放??
不過我之後自己組還是會研究一下防火牆,然後IP也
絕對不行對外開放,寧願用VPN的方式連回去
那邊管理員自己都跳下來吵了,我看到是管理員就默默
退掉了
站在雲端上講幹話的傲慢IT人
NAS 做為全家的資料集中站,本身是最需要備份的裝置
廠商誇大宣傳難辭其咎,多少人只用 RAID + Snapshot
就覺得足夠可靠,沒做任何備份。
這次中的很多人根本都是按照原廠的安裝引導一步一步
做完
然後就沒再去動任何設定
原來按照原廠的引導是錯的 XDD
原廠安裝導引是不會叫你去開對外的
裡面一堆賣服務/硬體的廠商,當然怎麼說都是使用者
的錯,不然要怎麼玩下去,整天喊專業服務有價,真
的出事還不是101招:有沒有備份?
用分享器,但能由外連內當然不安全啊
要安全就是VPN連入,或者Firewall 開 UTM/NGFW功能
我自己是換 port , 基本上不要用預設 port
別用官網提供的連入,我開了ftp prot就被人狂踹…
反正我也要換s牌了,雖然硬體比較弱,但態度實在差
很多
有人說使用者錯? 要說也是有啊,資安觀念哩???
把聯網可能的風險,全都推給賣你NAS的廠商,不很諷刺?
那真的這麼巨嬰,以後賣所有聯網的設備都要請廠商
比照銀行這樣做KYC ,確認客戶具有基本連網資安常識
才能賣吧,發現客戶資安觀念low,改賣外接硬碟就好
發現好方便,結果上Internet 呈現裸奔狀態
要不要比照駕照這樣,考過才可以持有電腦相關設備?
那我覺得不錯 跟飛大台空拍機一樣 都去考照
這事件最有趣的是快照吹個飛天 真正要用的時候
咦 被刪了
放分享器但是沒有有效安全的對外方法還是不行阿
對外有分內連外和外連內,正常來說要開啟後者需要特
別措施(至少知道自己在幹什麼). NAS的責任在於設定
時開啟外連內這功能要提出警告並確實告知可能風險
現在看起來,如果有雲端需求,還是付費買Gooigle好
了… Q看起來只是宣傳厲害
微軟和華碩促銷方案單價比google低,預算有限可考慮
外連內通常不是 NAS 管的啊… 要自己去 ROUTER 設定
S 牌是有提醒,NAS 開 PPPOE 直連網路要開啟防火牆
我的意思是你不講風險,user就只是會排除萬難(其實通
常就打通電話給ISP)去啟用完成,就好像你叫員工去做A
這件事,員工就傻傻去照做,但如果之前先加一句你可能
會因此死亡,員工的反應就不一定那麼乖了 XD
對於多數windows使用者來說,他們其實不太有server這
概念,平常都是client的身份,天天用windows(內)連外,
並一定理解外連內的風險是什麼
不一定理解
turnkey系統對很多人是很方便,但至少要知道鑰匙轉下
去是開電煮飯還是發射核彈
其實風險都有講 qts系統內也有 例如用不到的服
務文字說明都建議關閉
我的意思是要在設定開啟時彈出,那個說明文件連我這
種機車都先看完整本說明書的人都不一定會去看,(因為
字太多了 XD)
預設全關,要開得一個一個自行去開,選開啟時彈出視窗
警告.這樣責任就最低了 XD
我是希望 NAS 廠商提升 QuickConnect 的安全性
先連到官方伺服器,再讓使用者遠端。
別再使用 UPnP 在本地端開洞了。
畢竟對完全外行的人來說,QuickConnect 簡單易用
對速度有要求的人就自己去學習防火牆開 port 的知識
最極端的是要開啟裝時啟用時的http server都要去機
器按一個硬體按鍵5秒,播放一段語音,聽完同意後再按
5秒啟用,責任極低,但大概就滯銷了 XD
裝機時啟用的http server
那個… 操作介面本身就是一個 php 網站。
對啊,我是說啟用網站先經過按鍵聽完警語才啟用,仁至
義盡,責任也撇得一乾二淨了
其實特斯拉車主用自駕撞車死傷最多,雖然一再宣稱Lv2
但是我是覺得早晚會被追究. NAS通常不會死人,但是如
果user珍貴資料毀於一旦,台灣還好(法規爛),在美國應
該是會有集體訴訟
除了f大提的QuickConnect建議,我會建議廠商可以搭配
雲端硬碟方案搭售,單鍵把硬碟檔案加密壓縮後上傳,這
樣就真的符合他們自己說的備份321
Nas雖然不會死人 但會變成殭屍攻擊其他人
這次讓人很痛苦的是 廠商說快照強又安全 結果被刪光
爛 慘
吵一堆,怎不討論QNAP在這之事件中該如何協助
買你QNAP是讓快照刪光當勒索跳板啊
你要沒能力就不要宣告有這功能,開了再怨使用者沒
防護,先看歐美集體訴訟之後,台灣如何求償
已經不會再用QNAP的相關產品了,也開始要反推QNAP了
其他廠牌低階機種不提供快照
只有QNAP全線產品都提供快照
當然拿這個出來狂打廣告吹噓
說到QNAP的快照 當初他們反btrfs其中一個文宣是什
麼
「雞蛋不能放在同一個籃子,你懂的 快照與工作資料
也是」
現在出這種事 文宣變諷刺嗎
應該說做出這種文宣的人真的有資安觀念嗎...
快照本身就不是拿來保障安全的東西 自然就不會有雞
蛋放哪裡的問題 因為本身用途就不在安全
我是不知道QNAP後面是怎麼宣傳他們的快照啦 但快照
真的不是那樣
他們宣傳快照很安全,有快照不怕勒索,至少我看起
來是這樣
那個社團裡面在講幹話檢討消費者的那幾隻都有個共同
點
點開個人資料全部都是IT業者,不然就是資訊工程學歷
畢業的
難怪都一副趾高氣昂的姿態在教訓受害者
請問,可以安心開機了嗎?抖。我的一個槽已經中了
,幸好都是影片影響不大
也有人在那社團喔,這個星期一堆長恨歌,幾乎都是
不食人間煙火的,出事的時候都用你應該知道這招
現在據說QNAP更新又出問題了,又有人說你應該了解
是否要更新的幹話www
阿更新出事是舊聞
更新出事 不更新漏洞 你是要人更新不更新r
上面的某人是想講特殊硬體不容易被修改、執行怪程
式,但扯到別的東西去了。
但有漏洞就容易在/tmp下面塞東西,還是有機會執行
一般要靠類似SElinux 這種機制來擋比較好。
結論: 還是要靠更新來擋漏洞
然後我講SElinux也很含糊,因為考慮到講MAC又會像
斯斯有三種......
看推文那麼多想進來看有升麼災情的討論...結果一開
頭就一堆在爭論的推文
我都念ikea
還是乖乖買GD的空間最實在,這些網路產品對於一般
人來說門檻還是太高
有一種傲慢叫專業的傲慢,這次全都展現了
他們也不是講得多專業 講風涼話而已
專業的只有一開始從ram裡抓密碼那位
其實嘴巴說要更新和備份的資訊高手,真的不算高手
在粉絲團有和一位代管的辯論過,他堅持的是QNAP沒
問題,有問題的是USER自己不備份
辯論一小段後,就放棄了,他還說他代管的這次都沒
得到,這要怎麼解釋?
這次的漏洞難道不是Qnap造成的嗎?
從這次事件給大家的教訓,就是遠離qnap
備份就是平時完全不接網路、電腦 而且不只一份才安
全 缺點要手動 資料不是最新 有備份總比全部掛掉好
使用“鏡像比對”是備份好夥伴^^
放在NAS上就叫備份 這是哪門子的資安觀念?
即使我用QNAP被勒索 我的資料還存在啊 因為我不會
把NAS當成備份
NAS只是方便存取 不是備份 資安觀念要有
誰能確定自己的備份中沒有到有問題檔案後門程式?
NAS原本就是備份的機制之一了,什麼叫方便存取
如果只是方便存取,那幹嘛還要給妳用Raid
根本就是為了辯而辯
只有不接網路、電腦的備份才安全 今天qnap出事 下
次要換誰?你自己辦不到離線備份是你的問題 我就辦
到了啊
消費者低能啊,被駭是你觀念差,絕不是產品有漏洞
就算產品被駭,資料損失也是你自己不多備份的錯。
請大家繼續支持本土優良廠商QNAP
我是當全部廠商都會出問題 才堅持離線備份 雖然缺
點資料不是最新 至少出問題不會全部掛掉
55
Re: [討論] 哪家NAS的相簿APP,跟google相簿較相近呢?你確定要用NAS嗎? 我覺得大家有時候把NAS想的有點太簡單了 一般來說架設NAS不會選擇1bay的 如果是2bay的機種最少5k 2顆16T硬碟要2萬30
[討論] 群輝/QNAP 哪些方面比FreeNAS好?乳題 好奇FreeNAS現在已經很方便,不過仍然有很多用戶選擇NAS廠商, 很想討論一下對於消費者來說NAS廠商比起自組FreeNAS的優勢有哪些 方面? 一般請的起MIS的公司,叫MIS裝freeNAS應該不難.23
Re: [閒聊] QNAP NAS被發現重大安全漏洞身為重度QNAP使用者我覺得這次事件主要的原因是開了多媒體相關APP 又沒更新APP造成的影響 我公司三台NAS都是QNAP,我自己本身也有買一台QNAP的 QNAP的OS老實說跟微軟有的比,每次更新都在修BUG進而產生更多的BUG 但我還是建議能更新就更新23
Re: [情報] qnap又中勒索了剛查了一下QNAP的公告 說是有個系統提權漏洞剛修好 並釋出更新版本 但被駭客拿來攻擊還沒升級這個修復版本的NAS20
Re: [情報] QNAP NAS遭勒索軟體盯上大家 那個不幸的,這次我的QNAP中勒索了。 4/21 下午四點多中招,今天早上才發現 整個NAS裡面低於20MB的檔案都被鎖定成.7z的壓縮檔。 並且該目錄下有個 !!!READ_ME.txt 文字檔13
[情報] 華芸NAS遭到deadbolt勒索病毒盯上更新: 華芸已針對災情回應,請參考FB連結並針對重點服務進行預防和緩解 ========= 講白話就是針對廠家NAS作業系統的勒索病毒9
Re: [情報] QNAP NAS遭勒索軟體盯上若按照這篇報導所使用的漏洞是CVE-2020-2509以及CVE-2020-36195的話, 這兩個漏洞在QTS 4.5.X上是去年11月就修好了,但並不是所有型號的NAS都能上4.5 QTS 4.3.X一直拖到今年三月才修 白帽駭客展示的影片也很誇張,從8080port連上去直接就把密碼挖出來了6
[閒聊] QNAP NAS被發現重大安全漏洞QNAP 繼 Qlocker 攻撃後再被爆安全漏洞,IT 安全新聞網站 Bleeping Computer 23 日報導,台灣資安公司 ZUSO 發現 QNAP NAS 中存在後門帳戶,影響到所有正在運行 HBS 3 Hybrid Backup Sync 服務的裝置,駭客可以借助此漏洞登錄 QNAP NAS 並取得控制,此漏洞被評為 Critical 嚴重,建議用戶立即修復此漏洞。 HBS 3 Hybrid Backup Sync 服務是用作災難恢復和數據備份用途,備份檔案至本地端 NAS、外接裝置 (USB 一鍵啟動備份功能)、遠端伺服器或雲端儲存空間中,確保重要資料妥善保存,更可讓您便利追蹤修改紀錄。 受影響的 HBS 3 Hybird Backup Sync 版本包括︰ ♦ QTS 4.5.2:HBS 3 Hybrid Backup Sync 16.0.0415 及更高版本 ♦ QTS 4.3.6:HBS 3混合備份同步3.0.210412 及更高版本X
Re: [閒聊] QNAP NAS被發現重大安全漏洞台灣台北,2021 年 4 月 22 日 – 運算、網通及儲存解決方案的創新者威聯通悔鴔(Q NAP긠Systems, Inc.) 今日發出聲明稿回應近日使用者回報及媒體報導關於 Qlocker 及 eCh0raix 變種勒索病毒鎖定 QNAP NAS,並對使用者資料進行加密壓縮索取贖金之事件。 QNAP 強烈建議所有使用者立即安裝並使用最新版 Malware Remover 進行惡意軟體掃描, 並更新 Multimedia Console、Media Streaming Add-on 及 Hybrid Backup Sync 三個 A