Nuevo QTS 5.0.1
#1
En el dia de hoy Qnap ha tenido a bien sacar la correspondiente versión Mayor anual del sistema operativo QTS que integra nuestros nas con el patrocinio de Deadbolt y la reconocida capacidad de las instantáneas del nas a la hora de protegernos del ramsonware ( ironia ). Esto último no lo digo yo sino que lo publicita repetídamente Qnap. Esta nueva versión de firmware ha tenido nada más y nada menos que un desarrollo de 4 meses superior a los 3 meses que tuvo el paso a QTS 5. Y eso se ha notado ( ironia )....de las mejoras y cambios "destacables" hay que citar la posibilidad de cambiar el tamaño de los iconos del escritorio y la posibilidad de bloquear los dispositivos usb que conectemos a nuestro nas por nosotros mismos en el caso de que seamos usuarios domésticos del nas y en el caso de un uso empresarial del nas por nuestros "trabajadores desalmados" que están deseando joder la base de datos de los clientes de la empresa almacenada en el nas para que ésta última cierre y se vayan al paro. Esos son los cambios más destacables pero hay otros de menor importancia.....:

Ahora resulta que para poder activar la cuenta admin del nas que está desactivada por defecto resulta que se nos obliga a cambiar la contraseña. Que cosas, antes era la dirección MAC de la tarjeta de red del nas y ahora resulta que no vale, ahora hay que poner otra. En la próxima actualización de firmware la contraseña del nas serán los números agraciados con el próximo sorteo de Navidad. Y total para qué. La cuenta admin está capada y no es root ya que esa cuenta root está funcionando "por debajo" y es el verdadero coladero del sistema. Hace unos dias los nas de Qnap sufrieron un ataque Deadbolt a través de Photo Station y una vulnerabilidad "0 Day" de esa aplicación cosa que pienso que no es cierta. Ese sólo fue el método de entrada y podía haber sido cualquier otro, los "malos" estuvieron de vacaciones este verano y a la vuelta en Septiembre pensaron en "atacar" y para conseguir un mayor número de objetivos símplemente buscaron una aplicación de las más usadas cómo puede ser la que gestiona las fotos en el nas....pero podía haber sido perféctamente cualquier otra. Porque lo que tiene una vulnerabilidad 0 Day no es Photo Station que tiene una vulnerabilidad "Lunes Day", "Martes Day" y "Toda la semana Day". Que nos toque sufrir una encriptación de nuestros archivos almacenados en nuestro nas o no depende tan sólo de una cuestión de probabilidades, es decir, es cómo el que tiene un adosado y pone un cartel en la fachada de que tiene una alarma y los malos al verla se van al chalet de al lado. Si "protegemos" nuestro nas y adoptamos políticas de seguridad tenemos menos probabilidades de ser afectados pero eso no quiere decir que el sistema sea seguro ni mucho menos.

Las instantáneas es un buen invento software implantado y probado en otros sistemas operativos aparte de QTS que su característica principal consiste en permitir revertir los errores de los usuarios a la hora de administrar sus archivos. Y ya que se puede "volver atrás" sería una buena medida de protección a la hora de un ataque de ramsonware y su encriptación de archivos. El problema está en que en los nas de Qnap no funciona, y no funciona porque no están protegidas porque simplemente QTS no está protegido. Y es tanta "la preocupación" por parte de Qnap que sólo permite hacer una copia de seguridad de esas instantáneas en otro nas de Qnap. Y no permite que esa copia de seguridad de las instantáneas se pueda hacer, por ejemplo, en un ordenador cualquiera, porque símplemente saben que no sirve de nada. Y aunque se pudiera hacer tampoco serviría porque el sistema que permitiría revertirlas, o sea, QTS, está podrido en términos de seguridad.

Otra de las funciones nuevas de QTS 5.0.1 y áltamente reclamada por los usuarios y lárgamente esperada ( ironia ) relativa a la seguridad consiste en la posibilidad desde la interfaz de QTS de bloquear el botón físico de apagado del nas. Joder, muchas gracias Qnap. Cuando le pase el plumero a mi nas dormiré más tranquilo porque estoy seguro de que "no voy a romper nada".

De lo siguiente que voy a comentar me han dicho que ya existía pero tengo que decir que no me había dado cuenta hasta ahora. Tenemos la posibilidad de añadir un número de teléfono tanto en la cuenta admin del nas cómo en cualquier otra cuenta. Si os pensáis que a la hora de iniciar sesión en el nas se os pide ese número cómo medida de seguridad lo lleváis claro así que me gustaría que me explicaran para qué sirve.

QTS que es el sistema operativo que utiliza nuestro nas está basado no se sabe bien en Debian o en Ubuntu, por tanto es un Linux El "corazón" de cualquier Linux es su kernel y en cuestión de kernels hay de varios tipos. El recomendado a la hora de obtener estabilidad en el sistema, seguridad y soporte a largo plazo es el kernel LTS. Cuando el año pasado se lanzó QTS 5 el firmware de nuestro nas subió a la versión Mayor 5.10 LTS a pesar de que hacía unos pocos meses se había lanzado el 5.15 LTS. Entre la versión 5.10 y la 5.15 los desarrolladores del kernel linux lanzan versiones "temporales" más o menos cada dos meses en las que integran nuevos drivers y nuevas características tanto en gestión de memoria cómo de almacenamiento, etc, etc. Aún así esas novedades se van integrando en los kernels LTS aunque no todas. Qnap podría haber aprovechado la ocasión al lanzar QTS 5.0.1 para subir el kernel LTS de la versión 5.10 a la 5.15 LTS que ya lleva un año de funcionamiento. El caso es que NO lo ha hecho pero aún así lo entiendo porque no es tan necesario y las marcas normálmente ajustan "sus tiempos" a la hora de hacer cambios importantes para publicitarlos "cuando toque". No pasar al kernel LTS 5.15 NO es tan importante porque cómo he dicho antes los kernels LTS tienen un soporte largo y van parcheando los problemas que van encontrando no sólamente a la hora de la estabilidad del sistema sino también, y más importante todavía, a la hora de la seguridad. El caso es que el nuevo QTS 5.0.1 sigue con el kernel 5.10 pero resulta que ocurre una cosa muy llamativa y que "demuestra" el interés por parte de Qnap a la hora de aumentar la seguridad de nuestros nas. Resulta que el año pasado Qnap lanzó QTS 5 con el kernel LTS 5.10.60 que se publicó en Agosto del año pasado. Y en el dia de hoy Qnap ha sacado QTS 5.0.1 con el MISMO KERNEL 5.10.60 de Agosto del años pasado. Aplausos y ovaciones para Qnap.

Subir un kernel LTS a una versión Mayor no es sinónimo de una mayor seguridad ya que los parches y correcciones de seguridad se aplican por igual a todos los kernels adaptándolos a sus características, pero lo que es totálmente inadmisible es que Qnap no se haya molestado después de un año desde el lanzamiento de QTS 5 de tan siquiera actualizar el kernel 5.10.60 con el que sacó QTS 5 en esta nueva versión "Mayor" 5.0.1

Y es mi opinión muy personal, que a Qnap le importa una mierda todo....es tan sólo una campaña de marketing en la que nos publicitan sus "nuevas bondades" a la hora de la seguridad. Pero no sólo es eso ya que el kernel no es ni mucho menos todo. El kernel es el corazón de Linux, lo que se haga con el es otra cosa. Y en el caso de Qnap y su QTS el problema no lo tiene el kernel sino el propio QTS. Ayer fue una vulnerabilidad 0 Day de Photo Station ( ironia ) y mañana será otra. Existe un debate muy acusado últimamente en algunos grupos si la responsabilidad a la hora de la seguridad depende de los usuarios o es responsabilidad de Qnap ya que ofrece una serie de "usos y servicios milagrosos" a la hora de utilizar y sobre todo vender sus equipos. Bien es cierto que no seguir las recomendaciones y prácticas básicas de seguridad a la hora de utilizar los nas es responsabilidad de los usuarios también es cierto que los nas de Qnap se "marquetizan" y se ofrecen para su compra con unas "posibilidades llamativas" basadas sobretodo en la facilidad de uso. Y lo hacen porque necesitan hacerlo. Salvo, y dicho con todos los respetos del mundo, los "tontos tecnológicos" , cualquier mínimo "iluminado tecnológico" sabe que obtiene lo mismo que ofrece un nas Qnap mediante un disco duro externo + una raspberry py o un router neutro al que se le conecte un disco duro usb. Y ya que Qnap necesita obligatóriamente diferenciarse debería hacerlo en lo que es al fin y al cabo la principal función que cada uno de nosotros espera de un nas.....que sea un almacenamiento estable y seguro a largo plazo de los datos que verdadéramente nos importan. Y esto último es válido tanto para las fotos familiares de la playa de un usuario doméstico cómo la facturación de una empresa.

Otra de las nuevas funciones de QTS 5.0.1 es y van a ser las nuevas actualizaciones de seguridad independientes de las nuevas versiones de firmware futuras. Lo primero que tengo que decir es que Qnap no ha informado en que van a consistir ni su periodicidad a la hora de lanzarlas. Sincéramente me espero muy poco de ellas sobretodo por lo que acabo de explicar antes. Si no se han molestado en actualizar el Kernel LTS y siguen manteniendo el 5.10.60 de Agosto del pasado año.....que voy a contar.

Resumiendo...y es mi opinión extríctamente personal y por tanto abierta a críticas. Con el lanzamiento de QTS 5.0.1 Qnap que estaba necesitado de recuperar la confianza perdida por los ramsonwares sufridos en el último año largo y no sólo por Deadbolt ya que ha sufrido otros ramsonwares que no han afectado a otras marcas, ha perdido una ocasión histórica para remendarlo. 4 meses de desarrollo de éste nuevo QTS no han servido para nada. El echar "las culpas" a los usuarios por no proteger suficiéntemente sus nas no informándose para ello no tiene a estas alturas ningún sentido, no porque Qnap no tenga parte de razón y en los últimos tiempos hay que reconocer que se han esforzado por informar de ello, sino porque la base del problema no consiste en eso. Qnap a la hora de vender un nas ofrece una serie de posibilidades y servicios a la hora de su utilización y, por tanto, es responsable de que las cosas funcionen bien. Y salvo casos muy extremos, los usuarios de sus equipos "NO SOMOS TONTOS" y tanto si le damos un uso personal cómo si es empresarial NOS IMPORTA MUCHO, lo que almacenamos en nuestros nas y a dia de hoy estoy seguro que los que más nos preocupamos por "no tener un problema" con el nas somos los usuarios mucho más que la empresa que nos lo vende.

Visto lo visto el futuro pienso que va a ser muy negro a menos que los usuarios se "Doctoren a nivel Astronómico" a la hora de proteger sus nas adquiriendo conocimientos avanzados de seguridad. Y aún así Qnap sigue y seguirá capando cualquier posibilidad avanzada a la hora de administrar nuestros nas ni tan siquiera habilitando la cuenta admin del nas. Eso si, su cuenta "Super Root" FUERA DE NUESTRO ALCANCE" estará "suficiéntemente protegida" ( ironia ). Así que seguiremos sufriendo "Deadbolt y Qnapbolts" porque Qnap síncéramente ni se molesta en evitarlo ni tiene interés ni lo va a tener en el futuro. Es lógico que penséis que exagero pero si pensáis en los motivos que ha tenido Qnap en NO ACTUALIZAR el kernel 5.10 LTS después de más de un año lo mismo pensáis de otra manera....y así todo lo demás. Todo "lo nuevo" ofertado por QTS 5.0.1 no es más que un "bluff" destinado a marketing y a "tontos tecnológicos".....eso sin contar que "el problema" no lo tiene Qnap sino los usuarios por "no gestionar bien" su nas abriendo puertos sin ton ni son. Es curioso recordar que una de las funciones "principales" del nas es utilizarlo cómo Servidor Web para alojar nuestras páginas personales.....y para que funcione de esa manera no queda otra que abrir puertos. 

En fin, no digo más. Si vuestro mejor amigo o vuestro peor enemigo os pide consejo a la hora de comprar un nas.....Synology.
  Responder
#2
Totalmente de acuerdo y coincido plenamente con la opinión de yeraycito, todo parece una cuestión de marketing y de lavado de cara ante el golpazo sufrido por los ransomware hace unos meses...

Como anécdota curiosa con el nuevo firmware 5.0.1, ayer mismo intenté entrar desde el móvil a los archivos Multimedia de la NAS (estando conectado a la red privada desde casa) y cual fue mi sorpresa que la dirección IP de mi móvil quedó bloqueada!!!
La desbloqueé pero si intento repetir la operación de acceder a los archivos me vuelve a bloquear.

¿Alguien sabe por qué puede estar pasando esto? Nunca antes me había bloqueado la IP de mi móvil.
  Responder
#3
Desde luego el nombre de QNAP está quedando bastante mal, incluido en el saco de fabricantes tecnológicos inseguros. Veremos en qué le afecta a nivel de marca e ingresos en el futuro próximo.
Lo que está claro es que no se puede utilizar todo lo que te venden como maravilloso porque sabemos que es igualmente peligroso, pero yo creo que eso es inherente a todo dispositivo expuesto a Internet.
Las precauciones para evitar estas cosas, con QNAP o con cualquier otro dispositivo conectado a Internet, deberían reducir al mínimo las probabilidades de un ataque exitoso. Pero claro, vivimos en una sociedad ansiosa por tener cada vez más y más posibilidades tecnológicas a nuestro alcance, algunas hasta innecesarias y superflúas. Todo eso tiene un precio, muy alto. Demasiado. Los fabricantes lo saben  e intentan reinventarse para contentarnos y mantenerse atractivos para el consumo. Pero no son los únicos que lo saben. Los malos acechan y explotan cualquier resquicio posible. Esta es la letra pequeña de todo esto.


(21-09-2022, 03:28 PM)Duende escribió: Totalmente de acuerdo y coincido plenamente con la opinión de yeraycito, todo parece una cuestión de marketing y de lavado de cara ante el golpazo sufrido por los ransomware hace unos meses...

Como anécdota curiosa con el nuevo firmware 5.0.1, ayer mismo intenté entrar desde el móvil a los archivos Multimedia de la NAS (estando conectado a la red privada desde casa) y cual fue mi sorpresa que la dirección IP de mi móvil quedó bloqueada!!!
La desbloqueé pero si intento repetir la operación de acceder a los archivos me vuelve a bloquear.

¿Alguien sabe por qué puede estar pasando esto? Nunca antes me había bloqueado la IP de mi móvil.

Eso suele ser por las reglas de firewall que incorpora QTS, o ¿quizá por quFirewall ? Mira a ver si es que con la actualización se activan por defecto mecanismos de seguridad como estos aunque no los tuvieras activos antes.

Cuando dices "red privada", te refieres a LAN? Porque a la VPN no podrías conectarte desde la LAN de tu casa.
TS-253A 2x4TB RAID1 8GB RAM
“La inteligencia es la habilidad de evitar hacer trabajo y conseguir que el trabajo se haga.” (Linus Torvalds)
  Responder
#4
(21-09-2022, 09:36 PM)adrolmar escribió:
(21-09-2022, 03:28 PM)Duende escribió: Totalmente de acuerdo y coincido plenamente con la opinión de yeraycito, todo parece una cuestión de marketing y de lavado de cara ante el golpazo sufrido por los ransomware hace unos meses...

Como anécdota curiosa con el nuevo firmware 5.0.1, ayer mismo intenté entrar desde el móvil a los archivos Multimedia de la NAS (estando conectado a la red privada desde casa) y cual fue mi sorpresa que la dirección IP de mi móvil quedó bloqueada!!!
La desbloqueé pero si intento repetir la operación de acceder a los archivos me vuelve a bloquear.

¿Alguien sabe por qué puede estar pasando esto? Nunca antes me había bloqueado la IP de mi móvil.

Eso suele ser por las reglas de firewall que incorpora QTS, o ¿quizá por quFirewall ? Mira a ver si es que con la actualización se activan por defecto mecanismos de seguridad como estos aunque no los tuvieras activos antes.

Cuando dices "red privada", te refieres a LAN? Porque a la VPN no podrías conectarte desde la LAN de tu casa.

Efectivamente, me refería a la LAN de casa.

Creo que he descubierto cuando ocurre el error:
Si accedo desde el móvil a los archivos de la NAS mediante el gestor de archivos (Android), funciona a la perfección y no hay ningún problema.
Pero en cambio, si ejecuto la aplicación VLC e intento acceder a un archivo de la NAS, es entonces cuando se bloquea la IP de mi móvil.

Esto antes nunca me había ocurrido.
Comentar también que NO tengo instalado QuFirewall.

Por último, he hecho la misma prueba desde otro equipo (Windows esta vez) con el VLC, y tampoco me deja visualizar los archivos de la NAS, (se queda pensando...).
La diferencia aquí es que no me ha bloqueado la IP de mi equipo Windows.

Esto me da que pensar que el error está en la app VLC cuando intenta acceder a los recursos de red de la NAS.
¿Podría ser que esté utilizando un protocolo diferente a SMB? o alguna actualización de seguridad en la nueva versión QTS 5.0.1?
  Responder
#5
Me parece muy extraño que VLC bloquee tu ip, básicamente porque VLC no se autentica contra el NAS, sino que explora el contenido del NAS mediante DLNA (mediante la opción Red Local -> Plug 'n' Universal).
Otra cosa que podría ser, si no tienes quFirewall instalado, es que tengas las típicas reglas de protección básica que integra QTS, por IP o por protocolo. Adjunto capturas de lo que te comento.


Archivos adjuntos Imagen(es)
       
TS-253A 2x4TB RAID1 8GB RAM
“La inteligencia es la habilidad de evitar hacer trabajo y conseguir que el trabajo se haga.” (Linus Torvalds)
  Responder
#6
Hola

Siempre que tengamos problemas de acceso y bloqueos la primera prueba que hay que hacer es desactivar QuFirewall para hacer pruebas. Si funciona, ya sabemos que tenemos alguna regla mal o nos falta alguna.
Un saludo

Agur eta ondo ibili

Ganekogorta (TS-469Pro, TVS-673e, QBoat Sunny, TS-453Be, TR-002 y QHora-301w) Ʀɐɯ0η
  Responder




Usuarios navegando en este tema: 1 invitado(s)