Qnap: "Håll NAS-enheten borta från internet för att undvika ransomware"

Problemet är att inte alla enheter använder det på ett säkert och ansvarsfullt sätt så enda säkra är att stänga det helt i din router så att du inte får ohyra i nätet. Det är enligt min åsikt en av de farligaste funktionerna någonsin. Routern har bara Till eller Från, inget däremellan.

Jag har en bekant som fick sin brandvägg omstyrd av en enhet med UPnP och det enda som funkade var att stänga av i routern. Den enheten gjorde glatt som den ville med UPnP.

Det där med "bara på/av" beror ju dock helt på vad det är för mjukvara i routern, i mer genomtänkta implementationer har jag sett en ACL, där du kan ställa in typ "allow 1024-65535 192.168.1.10 1024-65535" eller liknande.

Det grundläggande felet är ju att alltihopa sker helt utan autentisering. "Så enkelt", antar jag... men också fruktansvärt riskabelt.

Med en sådan ACL, om man då specifikt tillåtit någon enhet som faktiskt kan anses behöva detta (en Xbox eller vad det nu må vara), så begränsas ju iaf riskerna med att ha det aktiverat.

Sneaky. Trodde brandväggen övervakade oavsett.

Övervakar och övervakar...
Hela syftet med portmappningsfunktionen i UPnP (respektive NAT-PMP, Apples motsvarande påhitt) är specifikt att "lösa" att "brandväggar är för svåra", detta då genom att göra det möjligt för alla enheter på det interna nätverket att helt automatiskt ändra brandväggens regler som det passar dem så att folk slipper handskas med säkerhetsfrågor.

Sedan om brandväggen i någon mån övervakar den trafik som explicit släppts igenom (inte självklart att så är fallet) så görs väl det även här, men portarna som öppnats den här vägen är ju just öppnade.

Man kan undra varför QSNAP går ut med detta nu - är det något som de känner till men inte vill tala om vad, innan de hinner städa upp sitt dret med nya uppdateringar - tro ??

Förra hacket i våras så spelade det ingen roll att admin-kontot var avstängt då intrångsvägen var via en multimedia-app - kanske via sagda UPnP rent av där man hade en bakdörrs-passord av apptillverkarna själva (glömt att ta bort eller vad det var för ursäkt - tro fan det... det var nog snarare en bra och ha port för utvecklarna som ogärna ville ta bort, men glömmer att det sitter folk och dissassemblerar apparna i just jakten att hitta svagheter eller gömda passord eller nycklar för just intrångsförsök) och med tillräckligt höga rättigheter för att mata in ett ransomware för att det skulle kunna kryptera upp alla Nasens användarfiler.

Problemet med sådan bakvägsfix är att man går förbi hela autentiseringsprocessen med PAM och hela den biten och går in direkt på OS bakvägen med mer eller mindre alla resurser tillgängliga - eller vart fall de rättigheter som appen hade, vilket kanske är mer än nog för att kunna börja skriva om filer på lagringsvolymen.

Det finns (få) andra program som också gör den vägen - med noga vägande av för och nackdelar säkerhetsmässigt och det är SSH i läget med i förväg delade ssh-nycklar och tex. kan fixa bortglömda passord/passfraser även för dem med admin-rättigheter, dock ser den till att rättigheterna inte är högre än den kontot som den loggar in på (dvs. kontot som har matchande nyckelpar i sin egna .ssh-mapp).

Problemet här är att även om övergripande OS är robust byggd så är problemet alla appar/program från 3'-part (och ivern att ha många alternativ) att man inte kan eller hinner kolla dem att det är sunt programmerade och inte har 'hacker-bakvägar' som kan ge seriös baksmälla när det utsätts för verkligheten...

Är det en sådan igen tro - utan att man vill säga rakt ut eftersom man nu tycker att alla skall använda VPN??? (vilket är annat sätt att säga att man inte vill att NAS:en skall vara kopplad till publik Internet och utsättas för portattacker).

Visst - NAS bör vara bakom en router och minimerad tillträde mot publik Internet - men skall vara ändå byggd för att tåla det och att de öppnade portarna tål att trummas konstant med illivillig angrep och hackförsök - för det är så publik Internet ser ut idag vare sig man gillar det eller inte...

Det är förstås svårt att veta om det finns en ny, ännu okänd, anledning att de säger detta just nu. Det kan vi väl än så länge bara spekulera kring.

Däremot är det ju ett rimligt och sunt råd, och OM man följt deras tidigare råd så är ju NAS-enheten redan bortplockad från Internet sedan länge. Se t.ex. https://www.qnap.com/en/security-news/2021/take-action-to-pro... där budskapet var ungefär detsamma.

Så utan att ha följt Qnap i detalj så känns det ju som att det även kan handla om att folk inte tar till sig av råden och att de därför upprepas oavsett om det finns något nytt problem eller ej.

"Håll bilen i garaget om du inte vill krocka med den."
Thanks, I'm cured.