QNAPi sunnitud turvavärskendus peatas lunavara, kuid osa kasutajaid on vihased
Miks see on oluline? Eelmisel kuul seisis QNAP silmitsi turvakriisiga, kui lunavaragrupp võttis sihikule oma klientide võrku ühendatud salvestusseadmed (NAS). See andis välja turvavärskenduse, mis probleemi lahendas. Kuid parandus põhjustas mõne jaoks ootamatuid kõrvalmõjusid.
Taiwanis asuv QNAP Systems on pidanud selgitama, kuidas ja miks ta sundis mõnda oma klienti oma NAS-süsteemide tarkvara värskendama. Kuigi oli selge vajadus peatada lunavara, mis oli juba jõudnud tuhandetesse QNAP-i salvestussüsteemidesse, leidsid paljud kasutajad, et igaühe ainulaadse olukorra tõttu oleks pidanud neile valiku andma.
Probleemid said alguse jaanuaris, kui Deadbolt lunavaragrupp hakkas QNAP seadmeid krüpteeriva pahavaraga nakatama. Malwarebytesi andmetel pakkus Deadbolt igale mõjutatud kasutajale 0,03 bitcoini (umbes 1100 dollari) eest dekrüpteerimisvõtit. Samal ajal üritati QNAP-ile müüa ka universaalset dekrüpteerimisvõtit ja 50 bitcoini (ligi 2 miljoni dollari) eest kasutatud Deadbolti nullpäeva kasutamise üksikasju.
Jaanuari lõpus, pärast oma kasutajatele hoiatuse väljastamist, andis QNAP välja automaatse turvavärskenduse, mis käsitles ärakasutamist. Kuid see tegi seda viisil, mis värskendas mõne kasutaja süsteeme isegi siis, kui nad olid automaatse värskenduse keelanud, mis mõned vihastas.
Mõned kasutajad võisid käivitada olulisi protsesse, mille automaatne värskendamine võis katkestada. Mõned lunavaraohvrid, kes olid lunaraha tasunud, kuid said värskenduse enne failide dekrüpteerimist, ei saanud enam Deadboltilt saadud võtmeid kasutada. QNAP-i tarkvara uuemad versioonid võisid rikkuda ka muid funktsioone.
Globaalne värskendamine oli lubatud, kuna QNAP-il on kaks automaatvärskenduste taset: seade, mis hoiab süsteemi värskendatuna uusimale versioonile, ja üks, mis hoiab seda värskendatuna "soovitatud versioonini". Ettevõte andis välja turvavärskenduse, muutes soovitatud iteratsiooni. Mõned kasutajad, kes läbisid järjest mitu süsteemivärskendust, võivad olla keelanud automaatse värskendamise uusimale versioonile, kuid ei teadnud soovitatud järgu automaatsetest värskendustest.
See süsteem on loodud pakkuma paindlikkust, kuid tehnoloogiaettevõtted reageerivad tavaliselt sarnastele probleemidele lihtsalt kasutajatele turbevärskendusest teavitamisega ja tungivalt selle rakendamisega. Vähemalt sel viisil oleksid kasutajad säilitanud kontrolli selle üle, kuidas ja millal tarkvara värskendati.