Protegiendo la nas

[Ganekogorta]

Yo añadiría otras cosas para mejorar la seguridad del nas aparte de las anteriores:

1 - Cambiarle el nombre al nas y llamarlo, por ejemplo, cd-rom......para despistar

2 - Sacar los discos duros del nas y en el hueco dejado poner una estampita de Santa Tecla ( patrona de la informática )

3 - Echarle una manta zamorana encima para que pase a modo " incognito "

4 - Darle la vuelta al nas, así está más escondido.

5 - Utilizarlo como microondas

6 - Contratar a Mortadelo y Filemón para que nos hagan auditorias de seguridad y actúen también como agentes de campo.

7 - Contratar a Los Guardianes de la Galaxia para que nos protejan de ataques en la red y, de paso, de ataques alienígenas.

8 - Prenderle fuego, sin más. Así nos aseguramos de que no nos encriptan los datos.

Te has dejado el dejarla apagada, que es lo más seguro en cualquier sistema [emoji23][emoji23]

Todo lo que dice Ganekogorta es cierto, hay que hacerlo así. Pero precísamente esa es la lástima. Viendo todo lo que está pasando últimamente con los nas de Qnap ( curiósamente no se oye nada parecido con Synology u otros fabricantes de nas) da la impresión que los de Qnap tienen muy abandonados los temas de seguridad.

Del mundo de las nas, es el primer caso.
Pero ocurre con más fabricantes, lo que pasa es que hay menos volumen de afectados.

Por poner un ejemplo, TPlink es un triste caso de abandono de actualizaciones en sus productos. [emoji2371]
Un triste caso también fué Mikrotik y estos hacen routers. Nuestra primera y esencial barrera de protección.
Otro más recientemente publicado y ocultado por el fabricante Ubiquiti. Que hace routers, switches, wifi mesh,… https://unaaldia.hispasec.com/2021/04/la...-peor.html

Las cámaras de vigilancia chinas “económicas” son un ejemplo claro de vector de ataque. Y desde aquí recomiendo ponerlas en una red aparte o una VLAN distinta si tu red lo soporta. Ojo, no lo son todas, pero haberlas, las hay.

El que quiera comprobar estas cosas puede ir a https://www.shodan.io/ y buscar por ejemplo “webCam, qnap,…” ahí podréis acceder a multitud de aparatos expuestos.

Pero que les pase a otros no es consuelo y lo que hay que buscar como minimizar posibles daños por ataques o fallos físicos de nuestros equipos (a cualquiera de ellos).

Unos ejemplos:

- Antes se podía acceder a los nas diréctamente desde la web de myqnapcloud.com y tuvieron que quitar el servicio por problemas de seguridad en vez de solventar el problema.

Creo que esto no lo han cerrado [emoji848], y es por aquí por donde ha accedido Qlocker.
Lo voy a confirmar.

Pesonalmente, creo que esta función no debería haberse creado tan alegremente o hacerlo de una forma mucho más segura . ¿Que es eso de acceder a MI nas desde SUS servidores? Siempre lo he visto como un riesgo y más de uno ha comentado lo arriesgado que era. La idea es buena, pero…

- Sacan tarde y mal un cortafuegos para el nas ( QuFirewall ) y lo sacan en " beta ". ¿Tan difícil es implementar un firewall en un Linux con iptables?

Si, han tardado mucho en sacarlo. Yo sólo echaba de menos el bloqueo de accesos por geoip. Y es que tener un cortafuegos interno está bien, pero el principal y más importante es el de nuestro router.
Por cierto, más de uno en su afán de protección, se ha aislado tanto con QuFirewall que ni siquiera luego ha podido entrar a la nas [emoji2357]
Es una buena aplicación para que sea nuestro primer contacto y aprendamos a gestionar reglas y como funciona un cortafuegos a nivel gráfico.

- Los firmwares y las aplicaciones de Qnap tienen más agujeros que los calcetines de mi bisabuelo ( visto lo visto ahora y los problemas del año pasado )

Correcto, no pueden tener tantos fallos en equipos que son suyos a nivel de arquitectura.
Es mejor que destines más recursos a esto, que a sacar nuevos modelos de máquinas. De nada me valen las novedades si no soy capaz de mantener el parque de máquinas ya desplegadas.
También, en su descargo, hay que reconocer que sacan algunas actualizaciones graves para máquinas descatalogadas y fuera de soporte.
Yo siempre recomiendo no exponerlas a internet por el riesgo que conlleva. Es como ir a navegar con equipos con Windows 98 [emoji2371]

- Con las últimas versiones de firmware la contraseña de acceso para una primera instalación o restauración ha pasado a ser la mac del nas. Buena medida de protección ideada para los más neófitos en estos temas. Prefieren ponérnoslo complicado en ver de asegurar el firmware. Desde entonces hay colas en los macdonalds preguntando si la contraseña es la del mac - pollo o la del mac - flurry. Como diría una amiga....hay que joderse.

Lo de la restauración de clave a una por defecto, no lo veo mal usando la mac. Que es algo único de cada máquina y que sólo puedes obtener si accedes físicamente a ella.

Lo que si deberían haber implantado es en el primer arranque, la creación de un usuario con privilegios de admin y anulación del admin inicial. Muchas máquinas de otro tipo ya lo hacen.

En resumen, si tenemos que cambiar el usuario admin, mal vamos. Si no podemos usar myqnapcloud por su comodidad, mal vamos ( precísamente esa fue una de las razones que me llamaron la atención en su momento a la hora de comprar mi nas ). Si no podemos abrir puertos para acceder desde el exterior ( aunque lo podamos hacer con vpn ) mal vamos, si tenemos que cambiar los puertos por defecto para que funcione, mal vamos, si para utilizar el nas como reproductor multimedia tengo que utilizar aplicaciones externas porque vosotros las vetais, mal vamos, si tenemos que sacarnos la carrera de astrofísico o llamar al guitarrista de Queen que tiene esa carrera para que funcione el nas correctamente y con seguridad, mal vamos, etc, etc. Se que estoy exagerando con esto y algunos de estos problemas también los tienen otros dispositivos pero, por favor, no nos lo pongan ya tan difícil y molestense un poco más en solventar la seguridad del nas para que lo podamos utilizar con un mínimo de confianza.

Cuando te refieres a myqnapcloud…ahí lleva a confusión porque son tres cosas con la palabra mágica “myqnapcloud”.
Deberían haber hecho distinciones:
-por ejemplo para las ddns haber hecho algo tipo “máquina.myddnsqnap.com”
-para el certificado llamarle como tal certificado SSL hacia tu DDNS o dominio, no mezclarlo con myqnapcloud que parece algo indisoluble.
-para el enlace o link, haber usado myqnaplink en el título o un nombre que claramente haga ver al usuario que es otra característica. Pero que por defecto estuviese deshabilitado.

No me parece buena idea que el myqnapcloud marque en rojo servicios que he desactivado. Si veis la imagen siguiente da a entender que hay un error a subsanar en la conectividad de red y sólo las ddns son correctas. Y no es así



Una cosa importante era poner el control de acceso en “privado” si es que lo tuviésemos activado (que no lo está según se ve en la captura).

Aquí se han juntado varios factores que han hecho la tormenta perfecta de Qlocker:
-oscurantismo o poca transparencia de Qnap
-tener máquinas accesibles por su link
-tener aplicaciones nativas con vulnerabilidades (HBS3, la consola multimedia)
-no tener copias de seguridad.
-y que los piratas han sido muy hábiles y han sabido aprovecharse de usuarios domésticos y pequeñas empresas que aplican las medidas de seguridad de forma más laxa (o no las aplican).

Este último punto me recuerda a la gente que tiene coche y le preguntas:
-¿has mirado el nivel de aceite del motor?
Todos suelen contestar:
-¿para que? Si hasta dentro de un año o hasta X kilómetros no tengo que cambiarlo
[emoji2357]

Vamos a ver si con este incidente:
-Qnap se pone las pilas y se aplica a lo que tiene que aplicarse y no nos suelta la memez de las memorias [emoji48]
-somos más conscientes de la seguridad y de las copias [emoji120]