Como la espera para el nuevo QTS 5 se nos está haciendo larga voy a hacérosla más amena CRITICANDO a Qnap un poco explicando algunas cosas. Resulta que hace 8 dias se reportaron 2 vulnerabilidades de seguridad muy importantes que afectan a los nas de Qnap y de Synology. Afectan a las dos marcas porque el componente afectado lo utilizan las dos. Ese componente es OpenSSL. Y al hacerlo no sólo afecta al sistema operativo de nuestro nas sino que también afecta a HBS 3 Hybrid Backup Sync. Las dos vulnerabilidades están catalogadas como CVE-2021-3711 y CVE-2021-3712. Si hacéis una búsqueda en Google de esos términos veréis que, como dije al principio, se publicaron hace 8 dias. Con estas vulnerabilidades un atacante podría conseguir, nada más y nada menos, que bloqueos en nuestros nas, ejecución de código remoto, bloqueos en aplicaciones, acceso a datos en memoria, etc, etc. La cosa es gorda.
Información sobre esto aquí:
https://www.redeszone.net/noticias/segur...n-parches/
OpenSSL es un componente gestionado por personas externas a Qnap que no sólo se utiliza en nuestro nas sino también en otros sistemas operativos.
Como he comentado antes las vulnerabilidades se reportaron hace 8 dias. OpenSSL, al conocerlas, ha sacado el correspondiente parche que soluciona lo anterior. Al ser tan importantes las sacó el mismo dia que se publicaron.
Esto último se puede ver aquí:
https://www.openssl.org/news/openssl-1.1.1-notes.html
Por tanto el parche que las corrigío salió hace 8 dias.
La última actualización del sistema operativo QTS de nuestro nas fue hace, nada más y nada menos, que 36 dias. Es decir, la última actualizacion del nas NO ES RECIENTE. Lo mismo que OpenSSL valora la gravedad del problema surgido con esas vulnerabilidades y al conocerlas sale corriendo a corregirlas y publicar a continuación el correspondiente parche ¿porqué Qnap no hace lo mismo? En esta ocasión lo tenía tremendamente fácil. Hace 36 dias de la última actualización del firmware con lo cual no tendría que preparar a correprisa una nueva actualización para solventar el problema con la única adicción del parche de OpenSSL.
Sin embargo, el parche de OpenSSL está corregido desde el pasado 24 de Agosto y a dia de hoy nuestros nas siguen sin estar protegidos. Y no será lo difícil que es corregir ese problema. Tan sólo actualizar OpenSSL en QTS.
Comparar Synology con Qnap es tontería. En mi opinión Qnap es " más serio y empresarial " tanto por software cómo con hardware, esto último se confirma con los últimos productos hardware de Qnap y en el tema de software con QTS Hero. Pero si Qnap adopta ese rumbo, cosa que me parece muy bien, de nada sirve publicitar y dársela " de serio y profesional " si no le da la suficiente importancia a la seguridad. Si OpenSSL lo hace, Qnap lo debería hacer también. En términos de seguridad informática el tiempo es oro. Y más manejando datos empresariales. Con esto último no desmerezco para nada los que utilizamos los nas para datos personales que también son muy importantes por el simple hecho de que son eso.....personales.
Qnap, en mi manera de ver personal, está a años luz de otros fabricantes de nas. El camino " de seriedad " que ha tomado me parece muy acertado. Pero para conseguirlo no sólo hay que intentarlo si no demostrarlo. Y uno de los pilares básicos es el tema de la seguridad unido a la claridad de la información. Y para esto, según mi opinión, a Qnap le queda mucho recorrido por aprender.
Por cierto, a los consumidores que no se nos olvide nunca " el derecho al pataleo ". Sólo falta que nos escuchen. Ganarían mucho.