NAS My Cloud od Western Digital mají backdoor, ani po půl roce není opravený

Tyhle afery kazdeho jenom otravuji. Ja bych vsechny ty cloudy a backdoory zakazala.

Já bych ty backdoory taky zakázal – a pořádně je pokutoval.

Máš na mysli ZDANIL.

A určitě je to na tu čerstvější? Oni totiž těchhle průserů měli během loňského roku několik po sobě, a ten poslední byl někdy koncem roku (půlka prosince?), takže je klidně možné, že to je na tu předchozí.

Přesněji to byly 2 případy za rok 2017. Místo řešení WD by bylo lepší zmínit TP-Link routery, který i po dvou letech backdoor neopravilo.

IMO je zbytečný tyhle značky vůbec brát na vědomí; tplink, dlink, i belkin vydali hned několik řad routerů, který měly ROKY známý díry už v době vydání, a buď se je opravovat neobtěžovali ani v updatech (řešili jen chyby způsobující záněty, a to automatickým nebo periodickým restartem), nebo rovnou update firmwaru nevydali nikdy.
Jediná pomoc byla na modely to umožňující nahrát dd-wrt.

Oprava záněty má být zámrzy. Pojebanej autocorrect.

Já si teď TP-LINK koupil :-) V prvních pěti minutách jsem vyhodil originál FW a nahrál LEDE (OpenWRT). Už jsem to u TP-LINKu dělal dříve, HW slouží v pohodě a s alternativním SW se z toho stane hodně slušný router.

Vzhledem k tomu, jak je oprava chyby „precizně“ popsána, není možno rozeznat, zda se jedná o danou chybu, a je třeba se ptát jinde.

Už zase?
Nechceme jim za to začít dávat pokuty?
Jedna věc je, že se někam potřebují nabořit tajné služby. Druhá věc ale je, když tu díru zvládne najít a využít každý neumětel, který se obtěžuje ji v daném kusu SW/HW hledat.

Nechceme.

Prostě to nekupujeme, a je to.

Přeesně. Síťovou neutralitu taky nechceme.

:D :D : D
no comment

IMO je to důvod ke vrácení zařízení s odůvodněním fatální konstrukční chybou znemožňující užívání s požadavkem na vrácení peněz v plné výši. Dokud to neudělajá dostatečné procento uživatelů, ani je nehne s tím něco dělat.

souhlasim. ale problem je, ze 90% uzivatelu to nebude zajimat ani kdyz jim to osobne reknes.

"souhlasim. ale problem je, ze 90% uzivatelu to nebude zajimat ani kdyz jim to osobne reknes."

Amen. Božuhell (C) to jsou přesně to, co tvrdí "já zálohovat a heslo ať nepotřebuju, moje data pro nikoho cenu nemají, ty potřebuju jenom já". A pak se diví, když jim soudruh Locky nebo Petya a podobní předvedou, že existuje minimálně jedna osoba, pro kterou mají cenu zlatý cihly. Oni sami.

já se jim nedivím, berou to jako spotřební věc k používání. Máš to stejné jako u auta, kdo řeší víc než klíč, který k auto dostane. Pokud něco nefunguje, dá to do servisu, pokud něco způsobí, je tady pojišťovna.

Teď najednou stejní lidé mají počítače a online účty a chtějí se k tomu chovat stejně, používat to.

Pro tyhle lidi by asi bylo nejlepší mít nějaký svůj usb token a ten používat ke všem službám místo přihlášení, stejně jako mají ten klíček od auta. U služeb, kde je potřeba prokázat identitu by mohl být další mechanismus ověření. Proč ani v roce 2018 tohle nemůže tak jednoduše fungovat? :)

S bezpečnostní u hraček, které si ti uživatelé kupují domů to je horší, auto musí projít řadou bezpečnostních kontrol, pojišťovna třeba proti vykradení bytu chce bezpečnostní dveře se zámkem. U počítačů a IT nic takového není, naštěstí, jinak nám to pěkně zvedne cenu, je otázka jak to zajistit dřív než se nám do toho začne motat stát a zákony?

Nemůžete srovnávat uživatelsky auto a počítač. Pro auto je třeba znát zákon a dodržovat jej (že se na to částečně sere a je třeba zásahu, teď nebudeme rozebírat), jsou zde tedy pravidla a povinnosti. U počítačů nejsou žádné, tam je dostatečnou kvalifikací díra do prdele. A podle toho to taky vypadá. Lůza dostala silný nástroj, ale zjistilo se, že není k jeho užívání dostatečně způsobilá a zodpovědná.
Mnoho věcí nefungovalo, než se do toho začal motat stát (a tohle nefunguje). Naopak to ale platí taky.

BFU si koupil prenosnej disk, daj se na to nahrat filmecky a da se to prenaset === funguje to a dela to co chtel. Pudes vratit svoje auto? Bez potizi se da pres wifi/bt trebas zapnout brzda. 99% lidi o tom nema ani paru. A ti co maj si stejne nevyberou, muzes chodit pesky.

Jedná se o NAS , který se většinou nikam nepřenáší a je trvale připojen do domácí nebo firemní sítě, což je jeho hlavní funkce. Nejedná se o obyčejný přenosný USB harddisk i když i NAS se dá přenášet , ale přenášet NAS je nesmysl.

Pokud o tom 99% lidí nemá ani páru, tak proto, že stejných 99% aut žádnou takovou zranitelností netrpí.

Kolik desetitisin promile ridicu vedelo, ze je jejich airbag muze zabit, nez je automobilky zacly kvuli realnym pruserum ve velkym vymenovat? Aneb vis o tom hovno ale hlavne ze sis zablil.

Tak jsem to doma vyzkoušel a nefunguje to.
Fungují pouze moje přihlašovací údaje a to jak z domácí LAN , tak i z venku.
Takže zpráva je nepravdivá.

ne všechny verze jsou zranitelné, viz i text ve zprávičce a odkazovaný dokument, který to popisuje přesně. Co na tom je podle tebe nepravdivé?

Ono to ma hacek. Na tuhle chybu uz zaplata je. Tahle chyba byla zverejnena nekdy v polovine prosince. Mimochodem nikdo si nevsiml toho username? :D WD na ferovku zkopirovalo cast kodu od d-linku a vubec se neobtezovali kluci usati si ten domaci ukol aspon trochu zmenit :D nutno dodat ze tuto chybu d-link opravil asi pred dvema lety :D

Iba mala poznamocka: V takomto pripade sa nehovori "na ferovku", ale "na drzovku"...

Nemusi kopirovat jeden od druheho. Mozna oba vychazeji ze stejenho devkitu anebo firmware pro obe firmy pise nejaka mala firma.

NSA My Cloud...

NSA je hodně velký úřad a ne všechny jeho výtvory obsahují backdoory, vždyť dodává SW i pro vlastní vládu, nechce se mi věřit, že si dělají backdoory sami na sebe. Už jen, že jakákoliv zranitelnost poslední dobou jim je vyčítána ač se prakticky jedná vždy o nedůslednost daných firem, ale asi někomu představa centrálního řízení a konspirace vyhovuje více.

No jistěže, vždyť to je ultimátní a nevyvratitelná výmluva :-)

Když se u nás ve firmě řešilo, jestli jako odkladiště použít Synology Rs-2212rp+ těsně po záruce a do něj nový disky, nebo koupit WS-4100ex, kolega mě překřičel a to WDčko si prosadil. Protože bylo v ceně se 4x 4TB. Teprve po vybalení se ukázalo, co je to za sráč, a že jediný co na to jakž takž funguje, je SMB (když pominu, že je na tom úplně všechno příšernej voser a dokumentace dobrá s ní sušit boty, a probuzení z úspornýho režimu trvá dýl než trias a jura dohromady).
Takže to Synology mám celý pro sebe a nikdo mi do něj neleze. Za mě ultimate-win.

Pokud tím, že ti do něj nikdo neleze myslíš, že tam nemá přístupy, je to synology, má také spousty děr ;)

Ve smyslu že jo mám celý pro sebe.

Nekde jsem videl navod popisujici, jak originalni firmware nahradit Debianem, pripadne jinou distribuci. Ten HW od WD je levny, pokud se koupi spolecne s disky, tak je ta cena fakt dobra. Vzpominam si, ze ta cena byla fakt lakava, uvazoval jsem o tom. Pokud by sel nahradit dodavany firmwarem treba Debianem, tak by to bylo zajimave, ne? Ma nekdo tuto zkusenost?

Pred par lety nekdo delal test NASek na blackhatu a propadly uplne vsechny na trivialnich vecech. Je to smutné, ja take marně cekam na patch od WD.

Kdysi jsem jeden tento shitNAS od WD pitval (měsíc po záruce umřel a majiteli se celkem hodila data co tam měl). Je to zvěrstvo, firmware na mě působil stylem: zkompilovalo se to, tak máme další verzi a nazdar. Firmy co dělají HW by jiný SW než ovladače dělat raději neměly, viz nVidia a jejich licenční server a podpora ke kartám z řady Grid. Vždyť většina SW s backdoorem či keyloggerem v poslední době byla utilita (ne ovladač) k touchpadu, klávesnici, zvukovce a podobně.

V dnešní době mi uniká, kdo je cílovka pro tato "řešení". Domácí uživatel si připojí USB disk k routeru (a tam s default fw bude mít taky backdoor, dobře :-) ) a nebo si náročnější uživatel pořídí něco jako HP microserver.

Třeba já mám WD EX2 a spokojenost. Mám v tom dva 3TB disky v RAID1, dávám na jednu část zálohy, na druhou veřejnou filmy, když si chci pustit film na televizi, tak ji zapnu, najdu film a pustím. Prostě funguje. USB disk v routeru by nebyl v RAIDu a pravděpodobně by nefungovalo out-of-the-box přehrávání na televizi. Microserver je naprosto zbytečný overkill.

Jediný problém byl, když v tom umřel jeden z disků, tak se to rebuildovalo hrozně pomalu. Vygooglil jsem, že mají nastavený moc konzervativně nějaký parametr v kernelu, tak jsem se tam sshčknul, parametr zvýšil a tím se to odbrzdilo.

Prosimtě, a které že routery mají na desce aspoň 4x SATA3?

Kde jsem psal o routeru a 4xSATA? Psal jsem o nenáročném uživateli a USB exteráku v routeru. Asi je jasné, že nenáročný uživatel nečeká oslnivý výkona RAID. Náročný uživatel zase čeká něco víc, než nabízí WD (buď HP Micro, nebo alespoň synology).

Existují v zásadě 3 veleprůsery:

1. hardwarář, fušující do softwaru
2. softwarář, fušující do hardwaru
3. uživatel, co dostal nápad

Tolik k výrobcům HW, píšícím drivery - kromě případu, kdy se kód zveřejní, takže ho po nich může zkontrolovat a opravit někdo nezávislý.

Tak to je síla. Předtím IME a teď tohle. Je lepší si sestavit NAS z vlastních komponent než riskovat tyhle problémy. Ale pokud bych měl kupovat NAS, tak nejspíše Synology, páč v první řadě, je na tom výkonnostně daleko nejlíp (a nejsem tak bohatý, abych mohl kupovat levné věci).