Grüß Gott,
mir ist nach ersten Tests aufgefallen, dass die aktuelle Firmware 2.1.0 einige Sicherheitslücken aufweist.
Daher will ich das Thema Sicherheit generell ansprechen.
Da ich mich seit längerem mit IT Sicherheit befasse will ich an dieser Stelle QNAP ans Herz legen, es den Hackern und Scriptkiddies in der nächsten Firmwareversion nicht so einfach zu machen!
Das ist ja wirklich ein Armutszeugnis und eine Freude für jeden, der in das NAS einbrechen will, wenn man sich anschaut, was in Sachen Sicherheit bisher gemacht wurde. Als Hersteller hat man in der heutigen Zeit des E-Crime doch eine Verantwortung dafür, dass Systeme sicher sind. Aktuell sind die Sicherheitsvorkehrungen doch eher schlampig!
Mein alter Linuxserver, den ich Jahre nicht gewartet habe, lief zu Spitzenzeiten ohne Absturz und Einbruch ca. 1 Jahr durch.
Das neue QNAP-System TS-109 ist mir heute am ersten Online-Tag abgeschmiert wegen mangelhaften Sicherheitsvorkehrungen von Seiten der Firmware!
Ich versichere Ihnen, IT-Sicherheit ist sehr sehr wichtig und sollte eine hohe Priorität haben!
Es ist nicht im Sinne der QNAP-Kunden, dass Hacker leicht auf sensible, persönliche Daten zugreifen können!
Sollte sich daran nichts ändern, werde ich mit Sicherheit kein QNAP-System mehr kaufen.
Sehr nützlich für Hacker sind Informationen über das verwendete System. Demnach sollte nach Möglichkeit so wenig wie möglich über die Software des Systems öffentlich preisgegeben werden.
Der Webserver dieses Forums gibt z.B. auch nur Preis, dass es ein Apache-Server ist. Das ist gut so.
Das QNAP NAS hingegen redet sehr gerne:
Bei HTTP: Apache/1.3.37 (Unix) PHP/5.2.0
Bei FTP: 220 NASFTPD Turbo station 2.x 1.3.1rc2 Server (ProFTPD) [192.168.0.2]
Das ist eine völlig unnötige Preisgabe von Informationen über die sich Hacker sehr freuen.
Ist das NAS online, wird es auch durch Suchmaschinen erfasst (oder Scans durch Hacker). So müssen Hacker nur nach z.B "Apache/1.3.37" suchen und können bei einer gegebenen Sicherheitslücke dieser Softwareversion sehr schnell das System kapern.
Es werden ständig neue Sicherheitslücken entdeckt, so dass die Preisgabe solch heikler Versionsdaten heutzutage ein hohes Sicherheitsrisiko birgt!
Dass man sich so oft man will über FTP ins QNAP NAS einloggen kann ist natürlich auch unglaublich fahrlässig.
Sogar der SSH-Login ist ein Traum für Hacker. Zwar wird nach (glaube ich) 8 fehlerhaften Loginversuchen die Verbindung unterbrochen, allerdings kann man trotzdem einfach wieder eine neue TCP-Verbindung aufbauen und hat wieder 8 Versuche. Automatisiert man das, ist man mit einer Wörterbuchattacke schnell in einem QNAP NAS seiner Wahl.
Ich finde es wirklich sehr sehr schlimm, dass man das mit der Sicherheit derzeit so vernachlässigt.
Dass Nicht-IT-Experten es mit der Sicherheit nicht so ernst nehmen und gehackt werden verstehe ich ja noch, aber wenn man tausende von Systemen in die Welt setzt, hat man doch auch eine Verantwortung gegenüber seinen Kunden!
Wenn QNAP da nichts tut, wird die Kriminalität im Internet dadurch unterstützt. Dem sollte man sich klar sein.
Ich hoffe das ist Anreiz genug der Grundfunktionalität Sicherheit etwas mehr Aufmerksamkeit zu schenken. :thumb: