QNAP installeert automatisch update op NAS-systemen tegen ransomware
NAS-fabrikant QNAP heeft automatisch een update op NAS-systemen geïnstalleerd om gebruikers tegen de Deadbolt-ransomware te beschermen. De afgelopen dagen raakten duizenden systemen besmet, maar gebruikers zijn niet blij met de actie van QNAP om ongevraagd een update uit te rollen.
Zo'n 3700 NAS-systemen van fabrikant QNAP zijn door de Deadbolt-ransomware getroffen, zo blijkt uit cijfers van zoekmachine Censys. Zoekmachine Shodan houdt het op 1200 besmette apparaten. Gebruikers moeten omgerekend duizend euro losgeld betalen om hun bestanden terug te krijgen. Ook is QNAP voor 1,6 miljoen euro een generieke decryptiesleutel aangeboden.
Hoe de aanvallers de NAS-systemen weten te infecteren is onbekend. Zelf claimen de aanvallers van een zerodaylek gebruik te maken. Op het forum van QNAP hebben zich inmiddels tal van gebruikers gemeld die slachtoffer zijn geworden. Woensdag waarschuwde het bedrijf voor de ransomware.
Volgens beveiligingsonderzoeker Félix Aimé draait het grootste deel van de geïnfecteerde QNAP-systemen versie 5.0 van het QTS-besturingssysteem. Dit is de laatste QTS-versie. Of alle NAS-systemen in kwestie ook up-to-date zijn is onbekend. QNAP heeft inmiddels automatisch op NAS-systemen een update geïnstalleerd. Iets waar niet iedereen blij mee is. Gebruikers vinden dat ze zelf de keuze hadden moeten hebben om de update te installeren.
Het grootste deel van de besmette NAS-system bevindt zich in Europa en de Verenigde Staten. Verschillende gebruikers die het losgeld betaalden melden dat ze een werkende decryptiesleutel ontvingen.
Reacties (29)
Bij QNAP denken ze liever 1 keer sorry zeggen dan continue de naam QNAP in e e n zin te horen i.c.m. ransomware.
QNAP is wel iedere keer de klos hoor.
QNAP is wel iedere keer de klos hoor.
Om war update gaat het hier?
ikzelf heb een Qnap TS-253D.
Ik zie nergens een melding dat er wat geupdated is.
ikzelf heb een Qnap TS-253D.
Ik zie nergens een melding dat er wat geupdated is.
ja, laat ik eens een systeem tegen het internet aanzetten en daar al mijn belangrijke bestanden op bewaren.
of, and hear me out, Je doet dat niet.
Wel leuk om al je vakantie foto's en mp3'tjes lekker handy online te hebben op een NASje dat ook meteen foto-bibliotheek en video-speler en bbq kan spelen, maar je belangrijke bestanden zet je dan uiteraard offline op een domme harddisk. toch?
of, and hear me out, Je doet dat niet.
Wel leuk om al je vakantie foto's en mp3'tjes lekker handy online te hebben op een NASje dat ook meteen foto-bibliotheek en video-speler en bbq kan spelen, maar je belangrijke bestanden zet je dan uiteraard offline op een domme harddisk. toch?
Door Anoniem: Om war update gaat het hier?
ikzelf heb een Qnap TS-253D.
Ik zie nergens een melding dat er wat geupdated is.
ikzelf heb een Qnap TS-253D.
Ik zie nergens een melding dat er wat geupdated is.
Google is your "friend"
https://www.qnap.com/en/release-notes/qts/5.0.0.1900/20211228 (en andere firmware versies in te zien)
https://www.bleepingcomputer.com/news/security/qnap-force-installs-update-after-deadbolt-ransomware-hits-3-600-devices/
https://techunwrapped.com/update-your-qnap-nas-now-to-avoid-the-new-deadbolt-ransomware/
https://www.qnap.com/en/security-news/2022/take-immediate-actions-to-secure-qnap-nas
nieuwste build erop zetten zit je goed.
kriebelig word ik er wel van, als mensen daadwerkelijk deze dingen aan het internet hangen. Het wordt allemaal zo "makkelijk" gezegd dat dit kan, door de fabrikanten zelf. Totdat er zoiets als dit weer optreed. Ook het aanzetten van UPNP dat zal bijna verboden moeten worden of een dikke banner in beeld, met de tekst "weet wat je doet!!"
Mijn primaire NAS komt van geen leven aan het internet, updates kan QNAP wel versturen maar die komen niet aan. Mijn primaire NAS repliceert naar een 2de NAS, die de replicatie de data naar 3 (1 week, 1 maand, 1 jaar) AWS S3 buckets. Zo heb je altijd een 3-2-1 middel. De opslag kost me 5 euro per maand en ik kan redelijk granulair terug. De data mutaties zijn dan ook weer niet zo hoog als voor een bedrijf. maar de zekerheid vind ik wel prettig voor 5 euro.
Door Anoniem:
Google is your "friend"
https://www.qnap.com/en/release-notes/qts/5.0.0.1900/20211228 (en andere firmware versies in te zien)
https://www.bleepingcomputer.com/news/security/qnap-force-installs-update-after-deadbolt-ransomware-hits-3-600-devices/
https://techunwrapped.com/update-your-qnap-nas-now-to-avoid-the-new-deadbolt-ransomware/
https://www.qnap.com/en/security-news/2022/take-immediate-actions-to-secure-qnap-nas
nieuwste build erop zetten zit je goed.
kriebelig word ik er wel van, als mensen daadwerkelijk deze dingen aan het internet hangen. Het wordt allemaal zo "makkelijk" gezegd dat dit kan, door de fabrikanten zelf. Totdat er zoiets als dit weer optreed. Ook het aanzetten van UPNP dat zal bijna verboden moeten worden of een dikke banner in beeld, met de tekst "weet wat je doet!!"
Mijn primaire NAS komt van geen leven aan het internet, updates kan QNAP wel versturen maar die komen niet aan. Mijn primaire NAS repliceert naar een 2de NAS, die de replicatie de data naar 3 (1 week, 1 maand, 1 jaar) AWS S3 buckets. Zo heb je altijd een 3-2-1 middel. De opslag kost me 5 euro per maand en ik kan redelijk granulair terug. De data mutaties zijn dan ook weer niet zo hoog als voor een bedrijf. maar de zekerheid vind ik wel prettig voor 5 euro.
Ik... die deze vraag stelde, dankt u vriendelijk.Door Anoniem: Om war update gaat het hier?
ikzelf heb een Qnap TS-253D.
Ik zie nergens een melding dat er wat geupdated is.
ikzelf heb een Qnap TS-253D.
Ik zie nergens een melding dat er wat geupdated is.
Google is your "friend"
https://www.qnap.com/en/release-notes/qts/5.0.0.1900/20211228 (en andere firmware versies in te zien)
https://www.bleepingcomputer.com/news/security/qnap-force-installs-update-after-deadbolt-ransomware-hits-3-600-devices/
https://techunwrapped.com/update-your-qnap-nas-now-to-avoid-the-new-deadbolt-ransomware/
https://www.qnap.com/en/security-news/2022/take-immediate-actions-to-secure-qnap-nas
nieuwste build erop zetten zit je goed.
kriebelig word ik er wel van, als mensen daadwerkelijk deze dingen aan het internet hangen. Het wordt allemaal zo "makkelijk" gezegd dat dit kan, door de fabrikanten zelf. Totdat er zoiets als dit weer optreed. Ook het aanzetten van UPNP dat zal bijna verboden moeten worden of een dikke banner in beeld, met de tekst "weet wat je doet!!"
Mijn primaire NAS komt van geen leven aan het internet, updates kan QNAP wel versturen maar die komen niet aan. Mijn primaire NAS repliceert naar een 2de NAS, die de replicatie de data naar 3 (1 week, 1 maand, 1 jaar) AWS S3 buckets. Zo heb je altijd een 3-2-1 middel. De opslag kost me 5 euro per maand en ik kan redelijk granulair terug. De data mutaties zijn dan ook weer niet zo hoog als voor een bedrijf. maar de zekerheid vind ik wel prettig voor 5 euro.
Het gaat hier inderdaad om een Firmware update, die Qnap geforceerd heeft doorgevoerd.
de NAS's van Qnap bevatten in de FW dus een backdoor, waardoor qnap de controle van de NAS kan overnemen.
Triest maar waar...
Ik zie veel vaker QNAP in het nieuws komen met dit soort dingen dan de concurrent Synology; of lijkt dat maar zo?
tip:
creeer/koop je eigen nas cert en blijf uit de buurt van myqnapcloud
hang je nas intern en laat alleen extern een vpn binnen (wireguard is tegenwoordig zeer goed)
draai een pihole of blok qnap.com voor je nas (zodat je in control bent wanneer in en uit mag)
makkelijk om te zeggen dat je nas niet aan internet moet hangen maar zijn we niet langzaam allemaal naar de cloud aan het gaan?
1 exploit op je dure telefoon en api zorgt wel dat al je bestanden op je cloud repository om zeep worden geholpen
Klanten beseffen het pas als het hun raakt, tot die tijd gaat iedereen alles aan internet hangen (IOT here we come)
creeer/koop je eigen nas cert en blijf uit de buurt van myqnapcloud
hang je nas intern en laat alleen extern een vpn binnen (wireguard is tegenwoordig zeer goed)
draai een pihole of blok qnap.com voor je nas (zodat je in control bent wanneer in en uit mag)
makkelijk om te zeggen dat je nas niet aan internet moet hangen maar zijn we niet langzaam allemaal naar de cloud aan het gaan?
1 exploit op je dure telefoon en api zorgt wel dat al je bestanden op je cloud repository om zeep worden geholpen
Klanten beseffen het pas als het hun raakt, tot die tijd gaat iedereen alles aan internet hangen (IOT here we come)
28-01-2022, 22:36 door
ROGGER
Gaat lekker...
https://search.censys.io/search?resource=hosts&sort=RELEVANCE&per_page=100&virtual_hosts=EXCLUDE&q=services.http.response.body%3A+%22*DeadBolt%22
https://search.censys.io/search?resource=hosts&sort=RELEVANCE&per_page=100&virtual_hosts=EXCLUDE&q=services.http.response.body%3A+%22*DeadBolt%22
Door Anoniem:
Het gaat hier inderdaad om een Firmware update, die Qnap geforceerd heeft doorgevoerd.
de NAS's van Qnap bevatten in de FW dus een backdoor, waardoor qnap de controle van de NAS kan overnemen.
Triest maar waar...
Het gaat hier inderdaad om een Firmware update, die Qnap geforceerd heeft doorgevoerd.
de NAS's van Qnap bevatten in de FW dus een backdoor, waardoor qnap de controle van de NAS kan overnemen.
Triest maar waar...
Dit is het geval met ieder systeem wat automatische updates ondersteunt. Het is niet zozeer QNAP die toegang heeft
tot jouw NAS, maar jouw NAS die periodiek aan QNAP vraagt "is er nog een update??" en die dan download en
installeert. Wellicht zal ie normaal eerst vragen of je die update wilt installeren, maar heeft men er aan gedacht om
ook een vlaggetje bij de update te kunnen zetten dat deze zo belangrijk is dat die zonder vraag geinstalleerd moet
worden.
Het is ook nooit goed. Als dit soort faciliteiten er niet is en de software kan worden ingezet in een botnet dan jammert
men weer over de onveiligheid van spullen en dat het uit de hand kan lopen...
Door Anoniem:
Dit is het geval met ieder systeem wat automatische updates ondersteunt. Het is niet zozeer QNAP die toegang heeft
tot jouw NAS, maar jouw NAS die periodiek aan QNAP vraagt "is er nog een update??" en die dan download en
installeert. Wellicht zal ie normaal eerst vragen of je die update wilt installeren, maar heeft men er aan gedacht om
ook een vlaggetje bij de update te kunnen zetten dat deze zo belangrijk is dat die zonder vraag geinstalleerd moet
worden.
Het is ook nooit goed. Als dit soort faciliteiten er niet is en de software kan worden ingezet in een botnet dan jammert
men weer over de onveiligheid van spullen en dat het uit de hand kan lopen...
Door Anoniem:
Het gaat hier inderdaad om een Firmware update, die Qnap geforceerd heeft doorgevoerd.
de NAS's van Qnap bevatten in de FW dus een backdoor, waardoor qnap de controle van de NAS kan overnemen.
Triest maar waar...
Het gaat hier inderdaad om een Firmware update, die Qnap geforceerd heeft doorgevoerd.
de NAS's van Qnap bevatten in de FW dus een backdoor, waardoor qnap de controle van de NAS kan overnemen.
Triest maar waar...
Dit is het geval met ieder systeem wat automatische updates ondersteunt. Het is niet zozeer QNAP die toegang heeft
tot jouw NAS, maar jouw NAS die periodiek aan QNAP vraagt "is er nog een update??" en die dan download en
installeert. Wellicht zal ie normaal eerst vragen of je die update wilt installeren, maar heeft men er aan gedacht om
ook een vlaggetje bij de update te kunnen zetten dat deze zo belangrijk is dat die zonder vraag geinstalleerd moet
worden.
Het is ook nooit goed. Als dit soort faciliteiten er niet is en de software kan worden ingezet in een botnet dan jammert
men weer over de onveiligheid van spullen en dat het uit de hand kan lopen...
Er moet ALTIJD een keuze zijn voor de eindgebruiker, default aan is prima maar geef de meer ervaren mensen de keuze om geen updates gepushed te krijgen. Je zit niet met een bedrijfsomgeving waar een werkgever updates op je laptop pushed, je zit als QNAP op andermans EIGENDOM te klooien.
mijn files zijn encrypted met deadbolt. Iemand advies hoe/waar hulp te krijgen met dycyption?
Door Anoniem: Ik zie veel vaker QNAP in het nieuws komen met dit soort dingen dan de concurrent Synology; of lijkt dat maar zo?
Ik weet wel dat in het verleden Synology regelmatig in het nieuws terecht kwam, en waarom dat nu kennelijk iets beter is, dat weet ik ook niet. Wat ik wel weet is dat het platform Linux niet het juiste platform is voor dit soort applicatiebeheer.Maar ja, ze (en we) hebben allemaal last van de remmende voorsprong.
Door Anoniem: mijn files zijn encrypted met deadbolt. Iemand advies hoe/waar hulp te krijgen met dycyption?
Je hebt geen backup?Door Anoniem:
Er moet ALTIJD een keuze zijn voor de eindgebruiker, default aan is prima maar geef de meer ervaren mensen de keuze om geen updates gepushed te krijgen. Je zit niet met een bedrijfsomgeving waar een werkgever updates op je laptop pushed, je zit als QNAP op andermans EIGENDOM te klooien.
Je kan natuurlijk ook leren om de instellingen zo te zetten, dat ze aan JOUW eisen voldoen. Maar ja, schreeuwen is makkelijker!Door Anoniem:
Dit is het geval met ieder systeem wat automatische updates ondersteunt. Het is niet zozeer QNAP die toegang heeft
tot jouw NAS, maar jouw NAS die periodiek aan QNAP vraagt "is er nog een update??" en die dan download en
installeert. Wellicht zal ie normaal eerst vragen of je die update wilt installeren, maar heeft men er aan gedacht om
ook een vlaggetje bij de update te kunnen zetten dat deze zo belangrijk is dat die zonder vraag geinstalleerd moet
worden.
Het is ook nooit goed. Als dit soort faciliteiten er niet is en de software kan worden ingezet in een botnet dan jammert
men weer over de onveiligheid van spullen en dat het uit de hand kan lopen...
Door Anoniem:
Het gaat hier inderdaad om een Firmware update, die Qnap geforceerd heeft doorgevoerd.
de NAS's van Qnap bevatten in de FW dus een backdoor, waardoor qnap de controle van de NAS kan overnemen.
Triest maar waar...
Het gaat hier inderdaad om een Firmware update, die Qnap geforceerd heeft doorgevoerd.
de NAS's van Qnap bevatten in de FW dus een backdoor, waardoor qnap de controle van de NAS kan overnemen.
Triest maar waar...
Dit is het geval met ieder systeem wat automatische updates ondersteunt. Het is niet zozeer QNAP die toegang heeft
tot jouw NAS, maar jouw NAS die periodiek aan QNAP vraagt "is er nog een update??" en die dan download en
installeert. Wellicht zal ie normaal eerst vragen of je die update wilt installeren, maar heeft men er aan gedacht om
ook een vlaggetje bij de update te kunnen zetten dat deze zo belangrijk is dat die zonder vraag geinstalleerd moet
worden.
Het is ook nooit goed. Als dit soort faciliteiten er niet is en de software kan worden ingezet in een botnet dan jammert
men weer over de onveiligheid van spullen en dat het uit de hand kan lopen...
Er moet ALTIJD een keuze zijn voor de eindgebruiker, default aan is prima maar geef de meer ervaren mensen de keuze om geen updates gepushed te krijgen. Je zit niet met een bedrijfsomgeving waar een werkgever updates op je laptop pushed, je zit als QNAP op andermans EIGENDOM te klooien.
Door Anoniem:
Er moet ALTIJD een keuze zijn voor de eindgebruiker, default aan is prima maar geef de meer ervaren mensen de keuze om geen updates gepushed te krijgen. Je zit niet met een bedrijfsomgeving waar een werkgever updates op je laptop pushed, je zit als QNAP op andermans EIGENDOM te klooien.
Je kan natuurlijk ook instellingen aanpassen. Bij mij geven p's, tablet, router en nassen aan, DAT er een update beschikbaar is. Ik moet dan toestemming geven om te downloaden en te installeren.Er moet ALTIJD een keuze zijn voor de eindgebruiker, default aan is prima maar geef de meer ervaren mensen de keuze om geen updates gepushed te krijgen. Je zit niet met een bedrijfsomgeving waar een werkgever updates op je laptop pushed, je zit als QNAP op andermans EIGENDOM te klooien.
Door Anoniem:
Er moet ALTIJD een keuze zijn voor de eindgebruiker, default aan is prima maar geef de meer ervaren mensen de keuze om geen updates gepushed te krijgen. Je zit niet met een bedrijfsomgeving waar een werkgever updates op je laptop pushed, je zit als QNAP op andermans EIGENDOM te klooien.
Oh maar als jij een laptop met Windows hebt dan pushed Microsoft daar ook gewoon updates heen hoor!Er moet ALTIJD een keuze zijn voor de eindgebruiker, default aan is prima maar geef de meer ervaren mensen de keuze om geen updates gepushed te krijgen. Je zit niet met een bedrijfsomgeving waar een werkgever updates op je laptop pushed, je zit als QNAP op andermans EIGENDOM te klooien.
Ik vind het gezeur. Als je geen updates wilt dan moet je hem maar van internet afkoppelen, dan vorm je ook geen risico.
Door Anoniem: mijn files zijn encrypted met deadbolt. Iemand advies hoe/waar hulp te krijgen met dycyption?
Betalen... OF...
HD's uit de NAS halen, formateren, evetueel een FW-upgrade uitvoeren.
HD's weer in de NAS doen, NAS configureren en backup's terugzetten.
Door Anoniem:
Ik vind het gezeur. Als je geen updates wilt dan moet je hem maar van internet afkoppelen, dan vorm je ook geen risico.
Ook bij Windows kan je instellen, dat je een mededeling krijgt als er updates beschikbaar zijn, maar niet automatisch geïnstalleerd worden. Hetzelfde geldt trouwens voor Linux systemen.Door Anoniem:
Er moet ALTIJD een keuze zijn voor de eindgebruiker, default aan is prima maar geef de meer ervaren mensen de keuze om geen updates gepushed te krijgen. Je zit niet met een bedrijfsomgeving waar een werkgever updates op je laptop pushed, je zit als QNAP op andermans EIGENDOM te klooien.
Oh maar als jij een laptop met Windows hebt dan pushed Microsoft daar ook gewoon updates heen hoor!Er moet ALTIJD een keuze zijn voor de eindgebruiker, default aan is prima maar geef de meer ervaren mensen de keuze om geen updates gepushed te krijgen. Je zit niet met een bedrijfsomgeving waar een werkgever updates op je laptop pushed, je zit als QNAP op andermans EIGENDOM te klooien.
Ik vind het gezeur. Als je geen updates wilt dan moet je hem maar van internet afkoppelen, dan vorm je ook geen risico.
Door Anoniem:
Door Anoniem:
Er moet ALTIJD een keuze zijn voor de eindgebruiker, default aan is prima maar geef de meer ervaren mensen de keuze om geen updates gepushed te krijgen. Je zit niet met een bedrijfsomgeving waar een werkgever updates op je laptop pushed, je zit als QNAP op andermans EIGENDOM te klooien.
Je kan natuurlijk ook leren om de instellingen zo te zetten, dat ze aan JOUW eisen voldoen. Maar ja, schreeuwen is makkelijker!Door Anoniem:
Dit is het geval met ieder systeem wat automatische updates ondersteunt. Het is niet zozeer QNAP die toegang heeft
tot jouw NAS, maar jouw NAS die periodiek aan QNAP vraagt "is er nog een update??" en die dan download en
installeert. Wellicht zal ie normaal eerst vragen of je die update wilt installeren, maar heeft men er aan gedacht om
ook een vlaggetje bij de update te kunnen zetten dat deze zo belangrijk is dat die zonder vraag geinstalleerd moet
worden.
Het is ook nooit goed. Als dit soort faciliteiten er niet is en de software kan worden ingezet in een botnet dan jammert
men weer over de onveiligheid van spullen en dat het uit de hand kan lopen...
Door Anoniem:
Het gaat hier inderdaad om een Firmware update, die Qnap geforceerd heeft doorgevoerd.
de NAS's van Qnap bevatten in de FW dus een backdoor, waardoor qnap de controle van de NAS kan overnemen.
Triest maar waar...
Het gaat hier inderdaad om een Firmware update, die Qnap geforceerd heeft doorgevoerd.
de NAS's van Qnap bevatten in de FW dus een backdoor, waardoor qnap de controle van de NAS kan overnemen.
Triest maar waar...
Dit is het geval met ieder systeem wat automatische updates ondersteunt. Het is niet zozeer QNAP die toegang heeft
tot jouw NAS, maar jouw NAS die periodiek aan QNAP vraagt "is er nog een update??" en die dan download en
installeert. Wellicht zal ie normaal eerst vragen of je die update wilt installeren, maar heeft men er aan gedacht om
ook een vlaggetje bij de update te kunnen zetten dat deze zo belangrijk is dat die zonder vraag geinstalleerd moet
worden.
Het is ook nooit goed. Als dit soort faciliteiten er niet is en de software kan worden ingezet in een botnet dan jammert
men weer over de onveiligheid van spullen en dat het uit de hand kan lopen...
Er moet ALTIJD een keuze zijn voor de eindgebruiker, default aan is prima maar geef de meer ervaren mensen de keuze om geen updates gepushed te krijgen. Je zit niet met een bedrijfsomgeving waar een werkgever updates op je laptop pushed, je zit als QNAP op andermans EIGENDOM te klooien.
Ik heb geen QNAP, ik lees nergens dat de mogelijkheid UIT te zetten was, ik lees WEL dat ongevraagd een update uitgevoerd is.
Door Anoniem:
Ik vind het gezeur. Als je geen updates wilt dan moet je hem maar van internet afkoppelen, dan vorm je ook geen risico.
Door Anoniem:
Er moet ALTIJD een keuze zijn voor de eindgebruiker, default aan is prima maar geef de meer ervaren mensen de keuze om geen updates gepushed te krijgen. Je zit niet met een bedrijfsomgeving waar een werkgever updates op je laptop pushed, je zit als QNAP op andermans EIGENDOM te klooien.
Oh maar als jij een laptop met Windows hebt dan pushed Microsoft daar ook gewoon updates heen hoor!Er moet ALTIJD een keuze zijn voor de eindgebruiker, default aan is prima maar geef de meer ervaren mensen de keuze om geen updates gepushed te krijgen. Je zit niet met een bedrijfsomgeving waar een werkgever updates op je laptop pushed, je zit als QNAP op andermans EIGENDOM te klooien.
Ik vind het gezeur. Als je geen updates wilt dan moet je hem maar van internet afkoppelen, dan vorm je ook geen risico.
Daarom gebruk ik ook geen Windows. Oh, dus als ik mijn eigendom wil beschermen tegen updates moet ik een groot deel van de functionaliteit maar opgeven? Vreemde redenering.
Door Anoniem:
Daarom gebruk ik ook geen Windows. Oh, dus als ik mijn eigendom wil beschermen tegen updates moet ik een groot deel van de functionaliteit maar opgeven? Vreemde redenering.
Als je een Linux versie draait komen de verbeteringen=update's vanzelf elke dag binnen.Door Anoniem:
Ik vind het gezeur. Als je geen updates wilt dan moet je hem maar van internet afkoppelen, dan vorm je ook geen risico.
Door Anoniem:
Er moet ALTIJD een keuze zijn voor de eindgebruiker, default aan is prima maar geef de meer ervaren mensen de keuze om geen updates gepushed te krijgen. Je zit niet met een bedrijfsomgeving waar een werkgever updates op je laptop pushed, je zit als QNAP op andermans EIGENDOM te klooien.
Oh maar als jij een laptop met Windows hebt dan pushed Microsoft daar ook gewoon updates heen hoor!Er moet ALTIJD een keuze zijn voor de eindgebruiker, default aan is prima maar geef de meer ervaren mensen de keuze om geen updates gepushed te krijgen. Je zit niet met een bedrijfsomgeving waar een werkgever updates op je laptop pushed, je zit als QNAP op andermans EIGENDOM te klooien.
Ik vind het gezeur. Als je geen updates wilt dan moet je hem maar van internet afkoppelen, dan vorm je ook geen risico.
Daarom gebruk ik ook geen Windows. Oh, dus als ik mijn eigendom wil beschermen tegen updates moet ik een groot deel van de functionaliteit maar opgeven? Vreemde redenering.
Door Anoniem:
Ik heb geen QNAP, ik lees nergens dat de mogelijkheid UIT te zetten was, ik lees WEL dat ongevraagd een update uitgevoerd is.
Je hebt dus geen QNAP, leest iets, maar snapt niet hoe een update procedure werkt, maar schreeuwt wel over eigendom.Door Anoniem:
Door Anoniem:
Er moet ALTIJD een keuze zijn voor de eindgebruiker, default aan is prima maar geef de meer ervaren mensen de keuze om geen updates gepushed te krijgen. Je zit niet met een bedrijfsomgeving waar een werkgever updates op je laptop pushed, je zit als QNAP op andermans EIGENDOM te klooien.
Je kan natuurlijk ook leren om de instellingen zo te zetten, dat ze aan JOUW eisen voldoen. Maar ja, schreeuwen is makkelijker!Door Anoniem:
Dit is het geval met ieder systeem wat automatische updates ondersteunt. Het is niet zozeer QNAP die toegang heeft
tot jouw NAS, maar jouw NAS die periodiek aan QNAP vraagt "is er nog een update??" en die dan download en
installeert. Wellicht zal ie normaal eerst vragen of je die update wilt installeren, maar heeft men er aan gedacht om
ook een vlaggetje bij de update te kunnen zetten dat deze zo belangrijk is dat die zonder vraag geinstalleerd moet
worden.
Het is ook nooit goed. Als dit soort faciliteiten er niet is en de software kan worden ingezet in een botnet dan jammert
men weer over de onveiligheid van spullen en dat het uit de hand kan lopen...
Door Anoniem:
Het gaat hier inderdaad om een Firmware update, die Qnap geforceerd heeft doorgevoerd.
de NAS's van Qnap bevatten in de FW dus een backdoor, waardoor qnap de controle van de NAS kan overnemen.
Triest maar waar...
Het gaat hier inderdaad om een Firmware update, die Qnap geforceerd heeft doorgevoerd.
de NAS's van Qnap bevatten in de FW dus een backdoor, waardoor qnap de controle van de NAS kan overnemen.
Triest maar waar...
Dit is het geval met ieder systeem wat automatische updates ondersteunt. Het is niet zozeer QNAP die toegang heeft
tot jouw NAS, maar jouw NAS die periodiek aan QNAP vraagt "is er nog een update??" en die dan download en
installeert. Wellicht zal ie normaal eerst vragen of je die update wilt installeren, maar heeft men er aan gedacht om
ook een vlaggetje bij de update te kunnen zetten dat deze zo belangrijk is dat die zonder vraag geinstalleerd moet
worden.
Het is ook nooit goed. Als dit soort faciliteiten er niet is en de software kan worden ingezet in een botnet dan jammert
men weer over de onveiligheid van spullen en dat het uit de hand kan lopen...
Er moet ALTIJD een keuze zijn voor de eindgebruiker, default aan is prima maar geef de meer ervaren mensen de keuze om geen updates gepushed te krijgen. Je zit niet met een bedrijfsomgeving waar een werkgever updates op je laptop pushed, je zit als QNAP op andermans EIGENDOM te klooien.
Ik heb geen QNAP, ik lees nergens dat de mogelijkheid UIT te zetten was, ik lees WEL dat ongevraagd een update uitgevoerd is.
Door Anoniem:
Daarom gebruk ik ook geen Windows. Oh, dus als ik mijn eigendom wil beschermen tegen updates moet ik een groot deel van de functionaliteit maar opgeven? Vreemde redenering.
Door Anoniem:
Ik vind het gezeur. Als je geen updates wilt dan moet je hem maar van internet afkoppelen, dan vorm je ook geen risico.
Door Anoniem:
Er moet ALTIJD een keuze zijn voor de eindgebruiker, default aan is prima maar geef de meer ervaren mensen de keuze om geen updates gepushed te krijgen. Je zit niet met een bedrijfsomgeving waar een werkgever updates op je laptop pushed, je zit als QNAP op andermans EIGENDOM te klooien.
Oh maar als jij een laptop met Windows hebt dan pushed Microsoft daar ook gewoon updates heen hoor!Er moet ALTIJD een keuze zijn voor de eindgebruiker, default aan is prima maar geef de meer ervaren mensen de keuze om geen updates gepushed te krijgen. Je zit niet met een bedrijfsomgeving waar een werkgever updates op je laptop pushed, je zit als QNAP op andermans EIGENDOM te klooien.
Ik vind het gezeur. Als je geen updates wilt dan moet je hem maar van internet afkoppelen, dan vorm je ook geen risico.
Daarom gebruk ik ook geen Windows. Oh, dus als ik mijn eigendom wil beschermen tegen updates moet ik een groot deel van de functionaliteit maar opgeven? Vreemde redenering.
Oh daar kunnen we wel eens een discussie over starten ja.
Ik vind het heel terecht dat als iets aan internet gekoppeld is (waarbij dus de belangen van heel de wereld geraakt worden ipv alleen jouw eigen belangen) er ook eisen worden gesteld aan de veiligheid van die spullen.
En de regering vindt dat nu ook.
Een "automatische install van critical security updates" zou daar best deel van kunnen uitmaken.
Zeker ook in dit soort gevallen, waarbij het apparaat zonder internet connectiviteit nog steeds een goede functionaliteit heeft.
Door Anoniem:
Betalen... OF...
HD's uit de NAS halen, formateren, evetueel een FW-upgrade uitvoeren.
HD's weer in de NAS doen, NAS configureren en backup's terugzetten.
Door Anoniem: mijn files zijn encrypted met deadbolt. Iemand advies hoe/waar hulp te krijgen met dycyption?
Betalen... OF...
HD's uit de NAS halen, formateren, evetueel een FW-upgrade uitvoeren.
HD's weer in de NAS doen, NAS configureren en backup's terugzetten.
Die backups zijn er waarschijnlijk niet, vandaar de vraag....
Er zijn nog steeds mensen die ' de deksel op hun neus krijgen' als het gaat om backups en beveiliging. :\
Door Anoniem:
........ je zit als QNAP op andermans EIGENDOM te klooien.
........ je zit als QNAP op andermans EIGENDOM te klooien.
Dat is nog maar zeer de vraag? Heb je ooit de licentievoorwaarden gelezen? Het gaat hier om een software-aanpassing en jij wordt geen eigenaar van de software, maar krijgt het gebruiksrecht.
Jouw stelling gaat helaas niet op.....
Door Anoniem:
Door Anoniem:
Ik heb geen QNAP, ik lees nergens dat de mogelijkheid UIT te zetten was, ik lees WEL dat ongevraagd een update uitgevoerd is.
Je hebt dus geen QNAP, leest iets, maar snapt niet hoe een update procedure werkt, maar schreeuwt wel over eigendom.Door Anoniem:
Door Anoniem:
Er moet ALTIJD een keuze zijn voor de eindgebruiker, default aan is prima maar geef de meer ervaren mensen de keuze om geen updates gepushed te krijgen. Je zit niet met een bedrijfsomgeving waar een werkgever updates op je laptop pushed, je zit als QNAP op andermans EIGENDOM te klooien.
Je kan natuurlijk ook leren om de instellingen zo te zetten, dat ze aan JOUW eisen voldoen. Maar ja, schreeuwen is makkelijker!Door Anoniem:
Dit is het geval met ieder systeem wat automatische updates ondersteunt. Het is niet zozeer QNAP die toegang heeft
tot jouw NAS, maar jouw NAS die periodiek aan QNAP vraagt "is er nog een update??" en die dan download en
installeert. Wellicht zal ie normaal eerst vragen of je die update wilt installeren, maar heeft men er aan gedacht om
ook een vlaggetje bij de update te kunnen zetten dat deze zo belangrijk is dat die zonder vraag geinstalleerd moet
worden.
Het is ook nooit goed. Als dit soort faciliteiten er niet is en de software kan worden ingezet in een botnet dan jammert
men weer over de onveiligheid van spullen en dat het uit de hand kan lopen...
Door Anoniem:
Het gaat hier inderdaad om een Firmware update, die Qnap geforceerd heeft doorgevoerd.
de NAS's van Qnap bevatten in de FW dus een backdoor, waardoor qnap de controle van de NAS kan overnemen.
Triest maar waar...
Het gaat hier inderdaad om een Firmware update, die Qnap geforceerd heeft doorgevoerd.
de NAS's van Qnap bevatten in de FW dus een backdoor, waardoor qnap de controle van de NAS kan overnemen.
Triest maar waar...
Dit is het geval met ieder systeem wat automatische updates ondersteunt. Het is niet zozeer QNAP die toegang heeft
tot jouw NAS, maar jouw NAS die periodiek aan QNAP vraagt "is er nog een update??" en die dan download en
installeert. Wellicht zal ie normaal eerst vragen of je die update wilt installeren, maar heeft men er aan gedacht om
ook een vlaggetje bij de update te kunnen zetten dat deze zo belangrijk is dat die zonder vraag geinstalleerd moet
worden.
Het is ook nooit goed. Als dit soort faciliteiten er niet is en de software kan worden ingezet in een botnet dan jammert
men weer over de onveiligheid van spullen en dat het uit de hand kan lopen...
Er moet ALTIJD een keuze zijn voor de eindgebruiker, default aan is prima maar geef de meer ervaren mensen de keuze om geen updates gepushed te krijgen. Je zit niet met een bedrijfsomgeving waar een werkgever updates op je laptop pushed, je zit als QNAP op andermans EIGENDOM te klooien.
Ik heb geen QNAP, ik lees nergens dat de mogelijkheid UIT te zetten was, ik lees WEL dat ongevraagd een update uitgevoerd is.
Grappig, iemand mag geen mening geven over een product wat in een artikel beschreven wordt.
Dan zou het hier verrekte stil moeten zijn.
En ja ik weet hoe automatische update mechanismes werken maar nergens blijkt uit het artikel dat de functionaliteit uit te zetten is en ook is het niet duidelijk indien mensen deze auto update uit hebben staan, deze wel of niet gepushed hebben gekregen. En met name tegen dat laatste heb ik bezwaar, mensen die auto update UIT hebben staan mogen NOOIT een update gepushed krijgen.
Door Anoniem:
Dat is nog maar zeer de vraag? Heb je ooit de licentievoorwaarden gelezen? Het gaat hier om een software-aanpassing en jij wordt geen eigenaar van de software, maar krijgt het gebruiksrecht.
Jouw stelling gaat helaas niet op.....
Door Anoniem:
........ je zit als QNAP op andermans EIGENDOM te klooien.
........ je zit als QNAP op andermans EIGENDOM te klooien.
Dat is nog maar zeer de vraag? Heb je ooit de licentievoorwaarden gelezen? Het gaat hier om een software-aanpassing en jij wordt geen eigenaar van de software, maar krijgt het gebruiksrecht.
Jouw stelling gaat helaas niet op.....
De software is geen eigendom, de hardware wel. Hard- en Software zijn onlosmakelijk met elkaar verbonden en dat geeft een partij nooit het recht om ongevraagde updates te doen.
Sterker nog, je zou dit kunnen beschouwen als het onrechtmatig toegang verschaffen tot een geautomatiseerd systeem.
Ik zie Tesla jouw connected car al onbruikbaar maken omdat jij niet akkoord wenst te gaan met nieuwe voorwaarden nadat een update gepushed is. Niet akkoord is geen licentie meer mijnheertje <klik>.
Door Anoniem:
Oh daar kunnen we wel eens een discussie over starten ja.
Ik vind het heel terecht dat als iets aan internet gekoppeld is (waarbij dus de belangen van heel de wereld geraakt worden ipv alleen jouw eigen belangen) er ook eisen worden gesteld aan de veiligheid van die spullen.
En de regering vindt dat nu ook.
Een "automatische install van critical security updates" zou daar best deel van kunnen uitmaken.
Zeker ook in dit soort gevallen, waarbij het apparaat zonder internet connectiviteit nog steeds een goede functionaliteit heeft.
Door Anoniem:
Daarom gebruk ik ook geen Windows. Oh, dus als ik mijn eigendom wil beschermen tegen updates moet ik een groot deel van de functionaliteit maar opgeven? Vreemde redenering.
Door Anoniem:
Ik vind het gezeur. Als je geen updates wilt dan moet je hem maar van internet afkoppelen, dan vorm je ook geen risico.
Door Anoniem:
Er moet ALTIJD een keuze zijn voor de eindgebruiker, default aan is prima maar geef de meer ervaren mensen de keuze om geen updates gepushed te krijgen. Je zit niet met een bedrijfsomgeving waar een werkgever updates op je laptop pushed, je zit als QNAP op andermans EIGENDOM te klooien.
Oh maar als jij een laptop met Windows hebt dan pushed Microsoft daar ook gewoon updates heen hoor!Er moet ALTIJD een keuze zijn voor de eindgebruiker, default aan is prima maar geef de meer ervaren mensen de keuze om geen updates gepushed te krijgen. Je zit niet met een bedrijfsomgeving waar een werkgever updates op je laptop pushed, je zit als QNAP op andermans EIGENDOM te klooien.
Ik vind het gezeur. Als je geen updates wilt dan moet je hem maar van internet afkoppelen, dan vorm je ook geen risico.
Daarom gebruk ik ook geen Windows. Oh, dus als ik mijn eigendom wil beschermen tegen updates moet ik een groot deel van de functionaliteit maar opgeven? Vreemde redenering.
Oh daar kunnen we wel eens een discussie over starten ja.
Ik vind het heel terecht dat als iets aan internet gekoppeld is (waarbij dus de belangen van heel de wereld geraakt worden ipv alleen jouw eigen belangen) er ook eisen worden gesteld aan de veiligheid van die spullen.
En de regering vindt dat nu ook.
Een "automatische install van critical security updates" zou daar best deel van kunnen uitmaken.
Zeker ook in dit soort gevallen, waarbij het apparaat zonder internet connectiviteit nog steeds een goede functionaliteit heeft.
Ik kan ook andere maatregelen genomen hebben i.p.v. patching.
Inmiddels is al wel duidelijk dat je de update gewoon door de strot geduwd kreeg, los of je hem wilde of niet.
Op Reddit delen veel mensen mijn mening dat er een keuze moet zijn voor gebruikers:
https://old.reddit.com/r/qnap/comments/sdz7e5/you_want_to_know_why_your_qnap_updated_last_night/huhlp5t/
Op Reddit delen veel mensen mijn mening dat er een keuze moet zijn voor gebruikers:
https://old.reddit.com/r/qnap/comments/sdz7e5/you_want_to_know_why_your_qnap_updated_last_night/huhlp5t/
Reageren
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
