Raspberry Robin: Bösartiger Wurm verbreitet sich über USB-Geräte

HWL News Bot

HWL News Bot

News
Thread Starter
Mitglied seit
06.03.2017
Beiträge
113.946
qnap_ts_253d.jpg
Dass Nutzer unbekannte USB-Sticks oder -Festplatten nicht einfach in den PC stecken sollen, dürfte mittlerweile hinreichend bekannt sein. Allerdings müssen Nutzer ebenfalls vorsichtig sein, an welchen Endgeräten der eigene USB-Stick genutzt wird. Aktuell haben Analysten von Red Canary eine neue Windows-Malware entdeckt, die sich über externe Medien verbreitet. Die als Raspberry Robin bezeichnete Schadsoftware ist zudem in der Lage, sich wurmartig weiter zu verbreiten. Erstmals wurde die Malware im September 2021 von Sekoia erfasst. Das Cybersecurity-Unternehmen bezeichnete die Software damals noch als “QNAP-Wurm”.
... weiterlesen
 
Wenn Du diese Anzeige nicht sehen willst, registriere Dich und/oder logge Dich ein.
werden höchstwahrscheinlich auf kompromittierten QNAP-Geräten betrieben
Zum Vergrößern anklicken....
Wie schön dass Geräte der Firma - trotz der einschlägig bekannten Sicherheitsproblematik die die Firma hat - nach wie vor so häufig von der HWLuxx-Redaktion angepriesen werden.
 
die qnap kisten sind top, kein wunder das die so weit verbreitet sind. bloß wen jeder hansel die einfach ans netz hängt und nie updates macht, lassen die sich halt super easy übernehmen! hier liest man doch immer wieder das man die dinger nicht ohne fw oder sonst was ans netz hängen soll, steht ja in dem artikel auch drin!
 
Wenn die Kisten "top" wären würde QNAP nicht laufend vulnerabilities sammeln. Ist schon lustig dass darauf schieben zu wollen dass die Leute "die Dinger" nicht updaten, nur scheint QNAP es irgenswie nicht auf die Reihe zu kriegen ihre Firmware halbwegs sicher zu machen, weswegen uns die Firma regelmäßig mit solchen Meldungen beglückt. Einfache Risikovermeidung: Keine Geräte der Firma verwenden.
 
laut deiner Argumentation dürfte ich ja auch kein windows benutzen!? wer ist denn deiner meinung nach ein guter NAS Hersteller?
 
USB klingt so extrem nach Windows. Was ist so schwer daran nicht automatisch beliebigen Code von einem fremden Laufwerk zu starten? Warum 20 Jahre der gleiche Scheiß?
 
Es steht leider überall nur der gleiche Wisch. Ob da wirklich nur der autorun genutzt wird oder ggf. ein anderer Weg, ist mir unbekannt.
Da steht überall nur, dass die Infektion mit einer .lnk Datei startet. Schön ... die muss aber auch erst mal gestartet werden.

Selbst hier fehlt die Initialzündung oder übersehe ich etwas? Wenn am Ende dafür eine Userinteraktion notwendig ist, wärs absolut lächerlich.

redcanary.com

Raspberry Robin gets the worm early

Raspberry Robin is a worm spread by external drives that leverages Windows Installer to download a malicious DLL.
redcanary.com redcanary.com
 
"Da NAS-Systeme in der Regel im 24/7-Betrieb laufen," DSL-Router laufen auch rund um die Uhr.

Ich beobachte meinen Router, schaue alle paar Tage nach CPU-Temperatur und CPU-Auslastung. Gestern gegen 14 Uhr war die Auslastung maximal. Heute ab Mittag war die Temperatur mindestens 5 Grad höher als normal. Der Router wurde also von mir neu gestartet.

Ein Minimum an Computerkenntnissen sollte jeder haben. NAS-Geräte sind nicht für DAUs.
 
SKRXL schrieb:
laut deiner Argumentation dürfte ich ja auch kein windows benutzen!? wer ist denn deiner meinung nach ein guter NAS Hersteller?
Zum Vergrößern anklicken....
Welcher andere NAS-Hersteller fällt denn mit so einer regelmäßig mit schweren Sicherheitslücken in seinen Produkten auf? Folgt man deiner "Argumentation" spielt schlechte Prduktqualität also keine Rolle, weil andere auch schlechte Produke produzieren?
 
NVMe1.4 schrieb:
... ist bei Nutzern ohne Kenntnisse so weit verbreitet?
Zum Vergrößern anklicken....
Und das spielt jetzt in Bezug auf Sicherheitslücken und die Produktqualität eine Rolle weil...? Die Frage war durchaus ernst gemeint. Mir fällt da momentan wirklich kein andere Hersteller von NAS-Produkten der da in solcher Regelmäßigkeit negativ auffällt. Ich mag da ein internes Bias bezüglich der Berichterstattung haben, aber andere Hersteller fallen da meiner Ansicht nach weniger häufig auf was das angeht.
 
Viper63 schrieb:
NAS-Produkten der da in solcher Regelmäßigkeit negativ auffällt. Ich mag da ein internes Bias bezüglich der Berichterstattung haben, aber andere Hersteller fallen da meiner Ansicht nach weniger häufig auf was das angeht.
Zum Vergrößern anklicken....
Siehste, da sind wir schon an dem Punkt. Andere Geräte kosten mehr und werden von Profis benutzt, die ihre Geräte schützen und mit Schwachstellen viel besser umgehen können. Und wer das nicht selbst erkennt...
 
NVMe1.4 schrieb:
Siehste, da sind wir schon an dem Punkt. Andere Geräte kosten mehr und werden von Profis benutzt, die ihre Geräte schützen und mit Schwachstellen viel besser umgehen können. Und wer das nicht selbst erkennt...
Zum Vergrößern anklicken....
Was genau soll ich da "sehen"? Die ursprüngliche Frage hast du überhaupt nicht beantwortet, geschweige denn warum das jetzt in Bezug auf Sicherheitslücken und die Produktqualität eine Rolle spielen sollte. Die Existenz der Sicherheitslücken hat jetzt mal garnichts damit zu tun ob user xyz zu faul ist Updates einzuspielen, weil selbige überhaupt nur eine Rolle spielen weil QNAP da einfach Mist baut was ihre Firmware angeht. Wenn überhaupt stützt dass an der Stelle den Rat keine NAS-Systeme der Firma zu kaufen geschweige denn selbige im Produktivbetrieb einzusetzen.
 
Viper63 schrieb:
Mir fällt da momentan wirklich kein andere Hersteller von NAS-Produkten der da in solcher Regelmäßigkeit negativ auffällt.
Zum Vergrößern anklicken....
Dann wirds mal Zeit, dass du deinen Horizont erweiterst, bevor man Behauptungen aufstellt.

www.synology.com

Synology Product Security Advisory | Synology Inc.

Synology Product Security Advisory
www.synology.com www.synology.com

Das, was du als Firmware bezeichnest, ist ein full featured Betriebssystemstack basierend auf Linux.
Auch wenn viele glauben, dass Linux über jeden Zweifel erhaben ist, es ist auch nur ein Sammelsurium an Paketen und jedes Einzelne hat so seine Probleme.

Kurz gesagt, QNAP ist ein Hersteller wie jeder andere, alle Kochen mit dem selben Wasser, was bei gleichen Umgebungsparametern den selben Siedepunkt hat. Und so ist es bei allen NASen so, dass man regelmäßig mit Sicherheitslücken konfrontiert wird und daher auch entsprechend patchen muss.

Ich bekomme jeden Tag dutzende CERT-Meldungen rein und da ist das who is who der Enterprise IT Welt dabei.
Da fährste 1x um die Bay Area und spielst Bingo und hast ne garantierte Gewinnchance.

Würde man deiner Auffassung folgen, müsste ich morgen mit nem Zelt, Feuerstein und nem Messer in den Wald ziehen und darauf hoffen, dass ich an Altersschwäche sterbe.

PS:
Wo isn der signifikante Unterschied zwischen beiden Herstellern?

Synology : Products and vulnerabilities, CVEs

Synology products and CVEs, security vulnerabilities, affecting the products with detailed CVSS, EPSS score information and exploits
www.cvedetails.com

Qnap : Products and vulnerabilities, CVEs

Qnap products and CVEs, security vulnerabilities, affecting the products with detailed CVSS, EPSS score information and exploits
www.cvedetails.com
Und die spielen beiden schon in der gehobeneren NAS-Liga.
Und ja, dafür können die auch mehr. Je mehr Features man hat, desto mehr "Spaß" hat man.
Liegt an der Systemkomplexität und damit bedingter "Ausfallwahrscheinlichkeit".
 
Zuletzt bearbeitet:
underclocker2k4 schrieb:
Dann wirds mal Zeit, dass du deinen Horizont erweiterst, bevor man Behauptungen aufstellt.
Zum Vergrößern anklicken....
Welche "Behauptung" habe ich denn hier aufgestellt? Ich habe explizit gefragt welcher andere Hersteller (von Consumer-NAS-Systemen) denn so häufig mit Sicherheitslücken auffällt. Wobei ich an dieser Stelle tatsächlich Behaupten würde dass QNAP da im Vergleich häufiger durch relevante Sicherheitslücken auffällt, siehe unten.

underclocker2k4 schrieb:
Das, was du als Firmware bezeichnest, ist ein full featured Betriebssystemstack basierend auf Linux.
Zum Vergrößern anklicken....
Danke, dessen war ich mir als Benutzer von XigmaNAS (ehemals NAS4free/freeNAS) und OMV natürlich nicht bewusst /s

underclocker2k4 schrieb:
Würde man deiner Auffassung folgen, müsste ich morgen mit nem Zelt, Feuerstein und nem Messer in den Wald ziehen und darauf hoffen, dass ich an Altersschwäche sterbe.
Zum Vergrößern anklicken....
Oder NAS-Systeme meiden dessen Hersteller wiederholt durch schwerwiegende Sicherheitslücken aufgefallen sind welche aktiv ausgenutzt werden. Aber das sind ja quasi identische Standpunkte, gebe ich dir recht.

underclocker2k4 schrieb:
PS:
Wo isn der signifikante Unterschied zwischen beiden Herstellern?

Synology : Products and vulnerabilities, CVEs

Synology products and CVEs, security vulnerabilities, affecting the products with detailed CVSS, EPSS score information and exploits
www.cvedetails.com

Qnap : Products and vulnerabilities, CVEs

Qnap products and CVEs, security vulnerabilities, affecting the products with detailed CVSS, EPSS score information and exploits
www.cvedetails.com
Zum Vergrößern anklicken....
Das Qnap mehr schwerwiegende Sicherheitslücken sammelt als Synology wenn man sich den DSM und QTS im Vergleich anschaut.

NVMe1.4 schrieb:
Das, was im nächsten Beitrag von Underclocker steht. Jeder ist selbst verantwortlich für seine Gerätschaften. Wer das nicht erkennt...
Zum Vergrößern anklicken....
Hm, genau. Und wenn mir der Airbag während der Fahrt explodiert weil der Hersteller Mist gebaut hat bin ich auch dafür verantwortlich. Ja ne, is klar ;)
Und was die Kenntniss der Nutzer jetzt mit dem auftreten von Bugs/Produktqualität zu tun hat scheinst du offensichtlich für dich behalten zu wollen.
 
Zuletzt bearbeitet:
nur scheint QNAP es irgenswie nicht auf die Reihe zu kriegen ihre Firmware halbwegs sicher zu machen, weswegen uns die Firma regelmäßig mit solchen Meldungen beglückt. Einfache Risikovermeidung: Keine Geräte der Firma verwenden.
Zum Vergrößern anklicken....
Ist das von dir?
Ist das eine Behauptung?
Ist diese Behauptung von dir?

Oder NAS-Systeme meiden dessen Hersteller wiederholt durch schwerwiegende Sicherhietslücken aufgefallen sind welceh aktiv ausgenutzt werden. Aber das sind ja quasi identische Standpunkte, gebe ich dir recht.
Zum Vergrößern anklicken....
Meinst du, dass das der richtige Ansatz ist?

Folgt man deiner Argumentation würde folgendes rauskommen:
Wenn ich auf etwas nicht prüfe, kann ich keine Erkenntnisse gewinnen.
Gibt es keine Erkenntnisse, ist logischer Weise alles OK.
Oder kurz gesagt, wenn man nicht auf Schwachstellen prüft, ist auch alles in Ordnung.

Scheinbar machen sich so einige ITler das Leben selber echt viel zu schwer. Einfach etwas kaufen, was keiner hat, keiner kennt, keiner prüft und damit ist logischer Weise alles in Ordnung.
:stupid:

Welche anderen Hersteller gibt es denn, die ein ähnliches Featureset unterstützen, eine ähnliche Systemanalyse betreiben oder betrieben bekommen und, deiner Meinung nach, das perfekte System liefern?

Um das nochmal klarzumachen, deine Ansicht, dass etwas, wofür es keine CVEs gibt, perse sicher ist und Systeme, für die es viele CVEs gibt, extrem unsicher sind, ist falsch. Denn zwischen Anzahl der CVEs und einer Sicherheitsaussage gibt allenfalls eine Korrelation aber keine Kausalität.
Oder mit anderen Worten, traue keiner Statistik, die du nicht selber gefälscht hast.

Zurück zu deinen NAS:
Der FreeBSD-Unterbau hat folgendes:

Freebsd : Security vulnerabilities, CVEs

Security vulnerabilities related to Freebsd : List of vulnerabilities affecting any product of this vendor
www.cvedetails.com

Was nun? Abschalten? Lieber eine 2,5" USB Platte nehmen, da einen Netzwerkstecker dranlöten und hoffen, dass es besser wird?

Ich weiß ehrlich gesagt nicht, was das bringen soll.
Das ist alles die selbe Grütze.
Linux ist Linux und solange man das nicht komplett zusammenballert (und ich habe mit solchen Systeme zu tun) sind die alle offen wie nen Scheunentor.
Bei FreeBSD das Gleiche. Weniger ausgeprägt als bei Linux, aber von Sicher weit entfernt.
Windows auch das Gleiche, noch bekloppter als bei Linux, aber am Ende auch das gleiche Problem. Je mehr Codezeilen, desto mehr Müll.

Also, treffen wir uns morgen alle im Schwarzwald und rufen die IT-lose-max-IT-Sec-Kolonie aus und tanzen nackt zum Nokia 3310 Gott mit dem Jamba-Sparabo?

Software muss gepflegt werden. Wir können froh sein, dass man in die Systeme, aufgrund der Lizenzen, reinschauen kann und jeden Tag irgendwelche Linux(you name it)dudes sich der Muse hingeben da reinzuschauen, damit alle davon profitieren.

Mir ist nen QNAP lieber als ne Thecus-NAS wo keiner reinschaut und nichts macht, weils komplett proprietär ist.
Und nein, Thecus ist kein super Hersteller, weil dort keine CVEs existieren. Denn anders, als du ggf. meinst, ist die Ursache dafür nicht, dass dort die Starprogrammierer des Planeten arbeiten.

Alle, aber auch alle, haben ihre Angriffsvektoren, die Frage ist nur, wieviel Aufwand wird betrieben diese zu finden. Und kein Aufwand heißt nicht, dass da nichts ist.

Als das Log4j Thema war, hat es bei so ziemlich jeder Software aufgeleuchtet, außer die, die so alt war, dass es kein log4j oder Java gab. Und nein, das muss nicht besser sein.

Entscheidend ist, dass der Hersteller zeitnah auf sowas reagiert oder selber solche Untersuchungen betreibt. Denn dafür zahlt man nämlich auch den Preis des NAS. Zum einen für die Software, aber auch, dass da jemand sitzt und das wartet.
Andere Option wäre eine Softwarewartung, die man auch bezahlt.

PS:
Ob da nun 20 oder 30 auf der Liste stehen, macht den Kohl nicht fett. Das mag für Korinthenkacker ein Aufhänger sein, generalisiert heißt das, man muss beide NASen pflegen.

Und selbst Software, für man >5-stellig bezahlt, muss man patchen und nein, nicht weil dort nur Flachpfeifen arbeiten.
 
Zuletzt bearbeitet:
NVMe1.4 schrieb:
Das ist typisch für die heutige Generation.
https://de.wikipedia.org/wiki/Verkehrssicherungspflicht

Führerschein hast du nicht?
Zum Vergrößern anklicken....
Und du hast ein Ingenieursstudium und bist dazu berechtigt Überprüfungen an Airbags vorzunehmen? Wäre mir an der Stelle auch neu das der Erwerb und das Führen eines Kraftfahrzeugs selbiges voraussetzt, geschweige denn das man vor Fahrtantritt oder Übernahme des Fahrzeugs den Airbag aus- und wiedereinbauen soll. Aber troll ruhig weiter ;)

underclocker2k4 schrieb:
Meinst du, dass das der richtige Ansatz ist?
Zum Vergrößern anklicken....
Geräte von Herstellern meiden die übermäßig verbuggte Produkte auf den Markt werfen? Grundsätzlich kein schlechter Ansatz würde ich mal behaupten. Bezogen auf ihre NAS-Betriebssysteme scheint QNAP hier immer noch mehr relevante Sicherheitslücken zu sammeln als Synology, von daher scheint meine Einordnung nach wie vor zutreffend zu sein. Ebenso werden weder Linux noch BSD als NAS-spezifische Produke verkauft oder beworben. Sowohl QNAP als auch Synology (und ein Haufen anderer Hersteller) verkaufen ihre Boxen aber als fertiges Produkt mit den damit einhergehenden (vollmundigen) Versprechen, von daher wäre mein Anspruch da ein etwas anderer, Insbesondere vor dem Hintergrund dass die Hersteller auch volle Kontrolle über die Hardwarekonfigurationen haben auf denen sie ihre System ausrollen. Und dann damit zu argumentieren dass man ja dafür zahlen würde dass der Hersteller "zeitnah" auf Sicherheitslücken reagiert ist auch ein bisschen für den Allerwertesten.

underclocker2k4 schrieb:
Um das nochmal klarzumachen, deine Ansicht, dass etwas, wofür es keine CVEs gibt, perse sicher ist und Systeme, für die es viele CVEs gibt, extrem unsicher sind, ist falsch.
Zum Vergrößern anklicken....
An welcher Stelle soll ich das deiner Meinung nach behauptet haben? Wenn ich "per se" von etwas gesprochen habe, dann davon das QNAP hier übermäßig oft negativ aufzufallen scheint. Dass man CVEs nur zuweisen kann so sie gefunden und identifiziert werden sollte selbsterklärend sein.

underclocker2k4 schrieb:
Und nein, Thecus ist kein super Hersteller, weil dort keine CVEs existieren. Denn anders, als du ggf. meinst, ist die Ursache dafür nicht, dass dort die Starprogrammierer des Planeten arbeiten.
Zum Vergrößern anklicken....
Soweit ich das überblicken kann hat aber niemand hier im Thread die Systeme von Thecus als "Topkisten" o.ä. bezeichnet, ebenso habe ich schon meine Gründe warum ich selber (F)OSS auf meinem NAS einsetze.
 
Zuletzt bearbeitet:
Geräte von Herstellern meiden die übermäßig verbuggte Produkte auf den Markt werfen? Grundsätzlich kein schlechter Ansatz würde ich mal behaupten.
Zum Vergrößern anklicken....
OK, also wann treffen wir uns denn nun im Schwarzwald?
Ich glaube, du verstehst nicht, was das eigentliche Problem ist. (was auch OK, kann und muss auch nicht jeder)
Alles, auch das, was du als vermeintlich nicht verbugt glaubst einzusetzen, ist defakto verbugt und zwar noch und nöcher.
Wenn du wirklich glaubst, dass das, was du einsetzt, bugfrei ist, dann irrst du dich gewaltig.
Wenn du also wirklich deinem Ansatz gerecht werden willst, nimm sowas:
Je simpler das System, desto geringer ist die kombinierte Fehlerwahrscheinlichkeit.

Sowohl QNAP als auch Synology (und ein Haufen anderer Hersteller) verkaufen ihre Boxen aber als fertiges Produkt mit den damit einhergehenden (vollmundigen) Versprechen
Zum Vergrößern anklicken....
Welche vollmundigen Versprechen nehmen sie denn im Kontext IT-Sec in den Mund? Mir sind keine bekannt, die ein sicheres System oder ähnliches verkaufen. Für "sicheren" Storage kannste noch ein paar 0 hinten ranhängen. Und ich bezweifle, dass wir dann noch im Home bzw. SoHo-Kontext sind.
Und "fertiges Produkt" gibt es im Bereich Software nicht, Software lebt, immer, solange bis der Hersteller sie abkündigt, aka beerdigt.
QNAP und Synology werden als Fertigprodukt verkauft, was soviel heißt, dass man es auspackt, anschließt, einrichtet und los geht.
fertiges Produkt != Fertigprodukt.

vor dem Hintergrund dass die Hersteller auch volle Kontrolle über die Hardwarekonfigurationen haben auf
Zum Vergrößern anklicken....
Was denn für ne Kontrolle über die Hardwarekonfig?
Die setzen entweder auf Arm oder x86 CPUs. Und nein, die bauen sie nicht selber.
Der Rest sind zugekaufte Netzwerkkarten, SSD und sonstiges.
Das einzige, worauf sie Einfluss haben, sind Platinen, Kupferdrähtchen und ein paar Spulen sowie Kondensatoren.
Alle aufgezählten Komponenten sind nur in Ausnahmefällen ein Sicherheitsrisiko im Sinn der IT-Sec.
Also nein, die haben keine Kontrolle über die Hardwarekonfig, die Auswirkung auf die IT-Sec hat.

An welcher Stelle soll ich das deiner Meinung nach behauptet haben? Wenn ich "per se" von etwas gesprochen habe, dann davon das QNAP hier übermäßig oft negativ aufzufallen scheint.
Zum Vergrößern anklicken....
Nun, ich habe dir Beispiele genannt, dass auch ein Synology, als auch der FreeBSD-Unterbau deines NAS in der selben Liga spielen.
Oder mit anderen Worten, QNAP fällt signifikant nicht mehr auf als andere Hersteller bzw. Systeme.
Wie kommst du also darauf, dass da etwas übermäßig anders wäre als bei QNAP? Weil da auf einer Webseite die Zahl 30 statt 20 steht?
Was machen wir dann mit dem FreeBSD, da ist die Zahl um Größenordnungen größer? Verbrennen wie FreeBSD jetzt auf dem Scheiterhaufen?
Was machen wir dann mit deinem NAS, was als Unterbau FreeBSD benutzt?

Soweit ich das überblicken kann hat aber niemand hier im Thread die Systeme von Thecus als "Topkisten" o.ä. bezeichnet
Zum Vergrößern anklicken....
Indirekt schon. Denn du sagst, ein Hersteller mit vielen CVEs macht quasi schlechte Arbeit.
Im Umkehrschluss heißt dass, dass ein Hersteller mit wenig CVEs gute Arbeit macht.
Und Thecus ist ein (vermeintliches) Beispiel für letztere.

Widerlegst du hier deine eigene Argumentation? Dann wissen wir ja jetzt Bescheid, wie du versuchst Kausalketten aufzubauen.
Du magst deine Gründe für dein NAS haben. Und nur, weil du dir einredest, dass es sicherer als ein FertigNAS sei, ist das noch lange nicht wahr.
Aber Glaube versetzt ja bekanntlich Berge.
Bleib dann mal weiter bei deinem voll sicheren NAS, während die echte Welt weiß, wie man mit Securityalerts umgeht und das vor allem auch bewerten kann.
 
underclocker2k4 schrieb:
Ich glaube, du verstehst nicht, was das eigentliche Problem ist. (was auch OK, kann und muss auch nicht jeder)
Alles, auch das, was du als vermeintlich nicht verbugt glaubst einzusetzen, ist defakto verbugt und zwar noch und nöcher.
Zum Vergrößern anklicken....
Und ich glaube dass es sich von dem hohen Ross auf dem du es dir bequem gemacht hast sehr tief fällt.
Da könnte ich genauso aus der reinen Existenz des halting problems extrapolieren dass es unmöglich ist sichere oder bugfreie Software zu programmieren, ergo spielt es keine Rolle wie gut oder schlecht ich meine Software programmiere resp. supporte. Weil der IoT-Krams made in China den man auf eBay oder was weiß ich wo nachgeworfen kriegt unsicher ist soll sowas generell akzeptabel sein?

Nein Meister, nur weil jede ausreichend komplexe Software Bugs haben muss (tatsächlich?) ist das keine Entschuldigung dafür Sicherheitsprinzipien über Bord zu werfen, geschweige die eigenen Nutzer monatelang in der Luft hängen zu lassen. Stichwort log4shell, hast du ja selber aufgegriffen - warum muss das logging-framework überhaupt in drölfzigtausend Geräten stecken obwohl es in für die meisten use-cases im privat-Bereich überflüssig ist? Wieso wurde das Utility überhaupt in der Default-Konfiguration verteilt? Wieso hat man es überhaupt für eine gute Idee gehalten da ausführbaren Code zu akzeptieren?

Faulheit und - damit einhergehend - Unwissenheit bezüglich der Softwarekomponenten mit denen man arbeitet, schlicht und ergreifend.

Rhetorische Frage: Sind alle Geräte oder Produkte welche Log4j implementieren gleichermaßen von Log4Shell betroffen?

underclocker2k4 schrieb:
Wenn du wirklich glaubst, dass das, was du einsetzt, bugfrei ist, dann irrst du dich gewaltig.
Zum Vergrößern anklicken....
Lustig, habe ich so niemals behauptet - aber bau dir ruhig deine Strohmänner auf wenns das braucht.

underclocker2k4 schrieb:
Welche vollmundigen Versprechen nehmen sie denn im Kontext IT-Sec in den Mund?
Zum Vergrößern anklicken....
Selbst die QNAP-eigene Produktseiten werfen da mit "privacy" und "security"-Gedöns um sich, zugegeben Synology ist da nicht viel besser.

underclocker2k4 schrieb:
Was denn für ne Kontrolle über die Hardwarekonfig?
Zum Vergrößern anklicken....
Eine derartige Kontrolle dass sie ihre Firmware auf eine bestimmte Hardwarekonfiguration zuschneiden können und nicht wie bei einer feld-wald-und-wiesen Linux-Distro Treiber und Konfigs für XYZ mitschleppen müss(t)en, mal ganz abgesehen davon dass sie bestimmte Bestandteile komplett aus dem Kernel schmeißen können (ALSA bspw.).

underclocker2k4 schrieb:
Also nein, die haben keine Kontrolle über die Hardwarekonfig, die Auswirkung auf die IT-Sec hat.
Zum Vergrößern anklicken....
Au contraire mein Freund, die haben sie selbstverständlich, da sie auswählen können welche Hardware sie verbauen und das OS dementsprechend zuschneiden könnten.

underclocker2k4 schrieb:
Nun, ich habe dir Beispiele genannt, dass auch ein Synology, als auch der FreeBSD-Unterbau deines NAS in der selben Liga spielen.
Zum Vergrößern anklicken....
Synology steht hier (signifikant) besser da als QNAP und FreeBSD ist kein reines NAS-System, geschweige denn bin ich da auf den Hersteller angeweisen bezüglich Security-Rollouts. So du hier Äpfel mit Birnen vergleichen willst kannst du das gerne tun, aber gibt doch bitte deinem Pferd ein paar ab.

NVMe1.4 schrieb:
Nöö....

PC-Führerschein für Kinder​

Zum Vergrößern anklicken....
Der wird die Polizei aber nicht überzeugen so sie dich kontrollieren, und ich glaube nicht dass du sie damit überzeugen kannst dass du deinen Airbag vor jedem Fahrtantritt aus- und wiedereinbaust ;)
 
Zuletzt bearbeitet:
Und welcher ist jetzt der empfehlenswerte sichere Hersteller, über den nicht gleich im nächsten Beitrag wieder hergezogen wird?
 
Kommando schrieb:
Und welcher ist jetzt der empfehlenswerte sichere Hersteller, über den nicht gleich im nächsten Beitrag wieder hergezogen wird?
Zum Vergrößern anklicken....
Selbstbau, an Enterprise angelehnt. Mit den Services, die man tatsaechlich nutzt.
 
Weil "Enterprise" sooo viel sicherer ist :lol:
 
Aber logisch. Dort bekomme ich nicht von Haus aus 30 Services mitgeliefert, die ich gar nicht nutzen werde. Schon allein aus dem Grund. Zudem unterliegen Enterprise produkte bzw. Unixoi‘de deutlich regelmaessigeren Updatezyklen als es ne Synology oder QNAP tut. Soll am Ende des Tages jeder das tun was er fuer richtig haelt. So ne Plastikbox kommt mir jedoch nicht ins Haus. Ich bin mir dessen bewusst, dass das keine Loesung fuer jedermann ist. Doch die Frage lautete wer es besser tut als diese beiden Hersteller. Und da gibt‘s mehr als genug Moeglichkeiten.
 
Ob ein Hersteller häufig wegen Sicherheitslücken auffällt oder nicht liegt einfach an der Presse.
In der Presse liest man auch fast ausschließlich über Sicherheitslücken bei Windows.
Linux und MacOS sind da aber keineswegs besser.
Die haben genausoviel Sicherheitslücken, nur schreibt darüber kaum jemand.
Die Systeme sind nur deswegen eine Winzigkeit sicherer, weil sie weniger verbreitet sind und sich daher weniger Schädlingsprogrammierer damit befassen.

Hier mal die Liste der NIST (National Institute of Standards and Technology):
thebestvpn.com

Vulnerability Alerts | TheBestVPN.com

How vulnerable is your operating system? We dug deep into a decade's worth of information and came up with this thorough study.
thebestvpn.com thebestvpn.com

Wie man sieht, haben diverse andere Systeme weit mehr Sicherheitslücken als Windows, nur liest man davon kaum etwas.
Und es zeigt auch, das OpenSource in der Praxis nicht sicherer ist als ClosedSource.
 
p4n0 schrieb:
Aber logisch. Dort bekomme ich nicht von Haus aus 30 Services mitgeliefert, die ich gar nicht nutzen werde. Schon allein aus dem Grund. Zudem unterliegen Enterprise produkte bzw. Unixoi‘de deutlich regelmaessigeren Updatezyklen als es ne Synology oder QNAP tut. Soll am Ende des Tages jeder das tun was er fuer richtig haelt. So ne Plastikbox kommt mir jedoch nicht ins Haus. Ich bin mir dessen bewusst, dass das keine Loesung fuer jedermann ist. Doch die Frage lautete wer es besser tut als diese beiden Hersteller. Und da gibt‘s mehr als genug Moeglichkeiten.
Zum Vergrößern anklicken....
Verstehe ich gut. Ich dachte halt mehr an eine eigentlich eine gleichwertige Lösung. Also Buy and use wie QNAP, für möglicherweise interessierte Käufer.

Vor dem Hintergrund, dass hier (nicht von Dir) immer nur gesagt wurde, dass QNAP selbstverständlich keine gute Lösung sei. Da stellte sich mir die Frage was genau dann eine solche sei. 🙂

Aber dein Vorschlag könnte denen ja teilweise auch helfen.
 
Anmelden, um zu antworten.
Hardwareluxx setzt keine externen Werbe- und Tracking-Cookies ein. Auf unserer Webseite finden Sie nur noch Cookies nach berechtigtem Interesse (Art. 6 Abs. 1 Satz 1 lit. f DSGVO) oder eigene funktionelle Cookies. Durch die Nutzung unserer Webseite erklären Sie sich damit einverstanden, dass wir diese Cookies setzen. Mehr Informationen und Möglichkeiten zur Einstellung unserer Cookies finden Sie in unserer Datenschutzerklärung.


Zurück
Oben Unten refresh