Wie ist der Stand der "Ermittlungen" ?

  • Möchtest du die Antwort als Privat Person oder von mir?


    Privat Person: juhu ich hab myqnapcloud, ich will Musik von unterwegs hören. Oh ein Passwort muss eingeben werden. Dann ist das sicher! Oh was ist Wordpress, das ist ja toll, gleich mal meine Homepage online stellen.

    Cool ich kann auch direkt vom Internet auf mein NAS zugreifen. Ist ja alles so, wie der Mediamarkt mir gesagt hat... usw.

    Updates, na klar mach ich, wenn ich alle Jahre mal drauf schaue und ich Lust habe. Vielleicht bekomme ich da tolle neue Sachen dieichunterwegs nutzen kann. Aber eigentlich geht ja alles, lieber nix machen.


    ITler: Gleich mal ein Plan machen, was kann ich wie von unterwegs machen und vor allem was macht Sinn. Eigentlich sollte ich dem Chef nur eine Ausfallsicherheit bauen. Hmm der Chef hat ein iPhone, gut, dann richte ich ihm ein VPN ein, der automatisch startet wenn er auf einen Dienst zugreift. Ende!

  • Hallo zusammen... hat denn schon jemand heraus bekommen, ob das aktuelle Firmware-Update Einfluss auf die Malware-Problematik hat? Also ich meine, ob sie das Problem löst?

  • Hallo Jan!

    [...] hat denn schon jemand heraus bekommen, ob das aktuelle Firmware-Update Einfluss auf die Malware-Problematik hat? Also ich meine, ob sie das Problem löst?

    Deine berechtigten Fragen kann ich nicht beantworten.


    Evtl. könn(t)en die aufgeführten CVE unter den 'fixed issues' in den Releasenotes ein Hinweis sein:


    Zitat

    QTS 4.3.6.0867 build 20190228

    [Fixed Issues]

    - Fixed an improper access control vulnerability in Helpdesk (CVE-2018-0728).

    - Fixed a remote code execution vulnerability in Netatalk (CVE-2018-1160).

    - Fixed a command injection vulnerability in Music Station (CVE-2018-0729).


    Interessanterweise - oder besser: blöderweise - ist bei CVE-2018-0728 und CVE-2018-0729 bisher nicht mehr als nur die allgemeine Information "This candidate has been reserved by an organization or individual [...]" verfügbar und noch nicht die Beschreibung um was es sich genau handelt.

    Im QNAP "Security Advisory for Malware on QTS (NAS-201902-13)" ist bislang kein 'CVE identifier' aufgeführt; allerdings hat das Advisory nach wie vor den Stand vom 13. Februar 2019...


    Warten wir einmal ab, ob da über die CVE vielleicht noch ein wenig Licht ins Dunkel kommt.


    Gruß!

    Tim

  • Von QNAP gibt es aber die Empfehlung den aktuellsten Malwareremover zu verwenden. Dieser kümmert sich darum und entfernt autorun-Scripte, wenn diese bestimmten Mustern entsprechen.

    Der Malwareremover war aber nicht die Lösung, da habe ich natürlich den aktuellen immer verwendet. Außer ich bin durch einen Fake Remover reingelegt worden. Es war aber nix auffälliges zu beobachten. Ich habe damals auch gleich die Lizenz von Mc Affee gekauft um auch hier sicher zu gehen.

  • Hallo,

    ich lese hier im Forum immer fleißig mit, vielen Dank für das Zusammentragen von Infos und die Unterstützung der User.

    Laut deutschem Support soll die Lücke durch Firmwareupdate geschlossen worden sein (Versionsnummern wurden nicht genannt).

    Auswirkungen der Malware sollen nur in der Form gewesen sein, dass man nicht Updaten (Apps, Anti-Virendatei & Firmware) konnte.

    Aufgrund dieser Infos rate ich mal, das das "Problem" in der MusicStation lag.

    Ich glaube, der deutsche Support wird von der Hauptverwaltung auch schön im Dunkeln gelassen.

    Schade, das die Security Advisory nicht fortgeschrieben wird und CVE-2018-0728 & CVE-2018-0729 nicht mit Text gefüllt werden.

  • Ich gehe immer noch davon aus das die keine Ahnung haben wie das passiert.

    Ich gehe immer noch davon aus, dass Du keine Ahnung hast, von was die eine Ahnung haben.

  • Abgrundtief!


    Hast Du schon 'mal überlegt, Dir einen Anwalt zu nehmen und QNAP zu verklagen, damit es endlich so läuft, wie Du es gerne hättest?

  • Hast Du schon 'mal überlegt, Dir einen Anwalt zu nehmen und QNAP zu verklagen, damit es endlich so läuft, wie Du es gerne hättest?

    Ich habe mir das schon überlegt.

  • PuraVida Überlegen kann man sich das zwar, ob man aber QNAP mit den Schwachstellen in der Firmware auf Mängel im Sinne von "zugesicherten Produkteigenschaften" festnageln kann? Ich denke das wird schwierig.


    Mit den Lizenzvereinbarungen von Software verhält es sich so wie mit Pudding. Hast du schon mal versucht einen Pudding an die Wand zu nageln? ;)

  • Überlegen kann man sich das zwar, ob man aber QNAP mit den Schwachstellen in der Firmware auf Mängel im Sinne von "zugesicherten Produkteigenschaften" festnageln kann? Ich denke das wird schwierig.

    Da hast Du natürlich recht. Ich denke es würde aber manchmal nicht schaden wenn man manche Unternehmen mal an den Rechtsstaat erinnert. Andererseits bin ich nicht Robin Hood.


    Um beim Thema zu bleiben: Die DSGVO schreibt ja vor, dass bei Datenpannen/Datenlecks die betroffenen Kunden darüber zu informieren sind. Das trifft die Sache nicht 100% aber eventuell wäre das ja ein Hebel um mal ein wenig Bewegung in die Sache und eine aktivere Kommunikation zu bekommen. Aber dazu bin ich zu wenig Jurist.

  • Die DSGVO schreibt ja vor, dass bei Datenpannen/Datenlecks die betroffenen Kunden darüber zu informieren sind.

    Soweit ich weiss, hatte QNAP auf seinen Servern keine Datenpannen/-lecks.

    QNAP muss nicht deine Kunden darüber informieren, dass du Sicherheits-Probleme mit deinem NAS hast nur weil es ein NAS von QNAP ist.

  • Das kann man so sehen. Wobei ich mich frage, warum das jemand so sieht?


    Der Firma Boeing ist auch kein Flugzeug abgestürzt sondern der Ethopian Airline. Trotzdem wird Boeing dafür zahlen. Weil die ein Softwareproblem in dem Produkt haben das sie verkaufen.


    Und genau so ist es bei Qnap.

  • Nun, wenn es sich so verhält, dann steht ja einer erfolgreichen Klage deinerseits gegen QNAP nichts mehr im Weg.

    Ausser vielleicht das Kleingedruckte.:P


    Mal im Ernst. Du willst jetzt wirklich deine von dir verschrattelte NAS ernsthaft mit einem Flugzeug vergleichen?

    Das ist ja nicht mal mehr ein Apfel-Birnen Vergleich.


    Aber ich denke mal, nach deinem Verständnis ist es Usus, das Fluggesellschaften irgendwelche Software auf die Boardcomputer spielen, weil es Fun macht und die Fesplatten tauschen sie auch gegen EcoGreen aus, weil die billiger sind.:D

  • Wie üblich, wenn es an Sachargumenten mangelt, dann muss man es eben auf andere Weise probieren...

    Es ist fast schon tragikomisch, dass Du gerade in einer Antwort an Jagi den Begriff "Sachargument" verwendest.