Ještě že mi na mém NASu běží OpenMediaVault, ne nějaký děravý FW od D-Linku bez aktualizací.
Řešení je prosté. Zákazníci by měly vyžadovat (už při koupi) aby se na ty krámy dal nainstalovat alternativní OS/firmware ideálně aby jejich byl už rovnou FOSS. Alternativní nemusí být dodán výrobcem, pokud bude poptávka někdo z foss komunity něco dá do kupy když by nešlo použít už něco existujícího. Jde o to aby tam nějak byla ta možnost. Ideálně přes webové rozhraní, dát tam checkbox “povolit instalaci nepodepsaného firmware” a načíst soubor s novým OS.A to se týká všeho. Routerů (v mnoha případech máme OpenWrt), televizí (nemáme žádnou alternativu), NAS,…Bohužel zákazníci většinou na tento požadavek kašlou a tak trpí všichni.
Jenže ono je to tak se vším, chrlí se hromada zařízení, ideálně každý rok nové modely (třeba u mobilů), výrobce to udržuje pár let a pak na to kašle. Pak na to začnou kašlat i výrobci sw, v lepším případě oficiálně nepodporují, v horším začnou aktivně blokovat činnost sw. Takže máme další funkční elektroniku do šrotu, protože na ní věci přestávají fungovat. Ale hlavně, že se zakazují třeba plastová brčka, aby se šetřila příroda.
Osobně bych asi nekoupil NAS běžící na uzavřeném fimrwaru. Bohužel většina takovýchto strojů přežije svou softwarovou podporu a stávají se tak cíleně vyráběným elektroodpadem.
Tím se ovšem řadíte do minoritní skupiny, která si buďto pořídí např.: FreeNAS, nebo pokračuje dál s vlastním návrhem a realizací.D-Link je profláknutá svou omezenou podporou a laxním přístupem k opravám kritických chyb např.: CVE-2019-16920, kde lepili díru 7-8 měsíců, nebo se na to vykašlali úplně (včetně reakce na odhalení chyby). Prodej a zapomeň, chce-li zákazník opravu chyby, musí si koupit nový, což není u podobných topinkovačů ničím výjimečným. Nejsmutnější na tom je, že při průchodu větším sídlištěm narazíte i na staré D-Link routery a "xmlset_roodkcableoj28840ybtide" pořád funguje, což je mimochodem chyba odhalená v roce 2013 ... majitelé o chybě buďto nevědí, nebo jim je to úplně jedno.
Měl jsem DNS-325 a asi před dvěma lety prodal. Sice byl “ven” vystaven jen Samba protokol, ale mnohokrát všechna data zašifrována. Nejednalo se o nic důležitého, jen jakési odkladiště. Hesla složitá, nepomohlo. Update žádný nebyl, na netu stížností hodně. Dobré poučení. Od té doby bez přístupu do netu, čistě lokál nebo VPN.
> Sice byl “ven” vystaven jen Samba protokol..."Ven" se mysli do internetu? Pokud jo, tak to jste dobrej strelec!Jinak heslo muzete mit jakkoliv silne, ale pokud to mate namountovane na svem PC a k tem souborum mate RW pristup, tak je uplne jedno jak mate silne heslo. Vetsina zasifrovani pribiha chybou uzivatele a jeho nakazene klientske stanice/laptopu.
Ano, ven do netu. Jak jsem psal, bylo to jen takové dočasné úložiště, žádná důležitá data. Jinak ne, klientská stanice nebyl problém. Problém byl někde ve FW samotného NASu, vždycky se tam objevil nějaký proces, který běžel přímo pod rootem a šifroval soubory. Pravděpodobně se tam dostal nějakým bugem v implementaci starého SMB 1 protokolu. Už si nevzpomínám na název toho procesu.
Samba do netu? Co te to napadlo?
V čem je problém? Samba je protokol jako kterýkoli jiný, nevidím v tom žádný problém. Krom zmiňovaného NASu, který evidentně trpěl nějakým bugem (ať už díky starému SMB v1 a jeho implementaci), nebo samotným jeho firmwarem. Je úplně jedno, jestli se bavíme o Sambě, (S)FTP, SCP, nebo kterémkoli jiném protokolu. Riziko je všude. Silné heslo spolu s hlídáním pokusů o přihlášení (F2B) zatím v pohodě odolává 🙂
Potvrďte prosím přezdívku, kterou jsme náhodně vygenerovali, nebo si zvolte jinou. Zajistí, že váš profil bude unikátní.
Tato přezdívka je už obsazená, zvolte prosím jinou.