QNAPs tvungne sikkerhetsoppdatering stoppet løsepengevare, men noen brukere er sinte
Hvorfor det betyr noe: Forrige måned møtte QNAP en sikkerhetskrise da en løsepengevaregruppe siktet inn på kundenes nettverkstilkoblede lagringsenheter (NAS). Den utstedte en sikkerhetsoppdatering som løste problemet. Men reparasjonen forårsaket uventede bivirkninger for noen.
Taiwan-baserte QNAP Systems har måttet forklare hvordan og hvorfor det tvang noen av kundene sine til å oppdatere programvaren for NAS-systemene deres. Selv om det var et klart behov for å stoppe løsepengevare som allerede hadde nådd tusenvis av QNAP-lagringssystemer, mente mange brukere at de burde ha fått et valg på grunn av hver enkelts unike situasjon.
Problemene startet i januar da Deadbolt løsepengevaregruppen begynte å infisere QNAP-enheter med krypteringsskadelig programvare. Ifølge Malwarebytes tilbød Deadbolt hver berørt bruker en dekrypteringsnøkkel for 0,03 bitcoin (omtrent $1100). Samtidig prøvde det også å selge QNAP en universell dekrypteringsnøkkel og detaljene om nulldagers utnyttelsen Deadbolt brukt for 50 bitcoins (nesten $2 millioner).
Mot slutten av januar, etter å ha gitt en advarsel til sine brukere, ga QNAP ut en automatisk sikkerhetsoppdatering som adresserte utnyttelsen. Imidlertid gjorde det det på en måte som oppdaterte noen brukeres systemer selv om de hadde deaktivert automatisk oppdatering, noe som gjorde noen sinte.
Noen brukere kan ha kjørt viktige prosesser, som den automatiske oppdateringen kan ha avbrutt. Noen av løsepenge-ofrene som hadde betalt løsepengene, men fikk oppdateringen før de dekrypterte filene sine, kunne ikke lenger bruke nøklene de fikk fra Deadbolt. Nyere versjoner av QNAPs programvare kan også ha ødelagt andre funksjoner.
Den globale oppdateringen ble tillatt fordi QNAP har to nivåer av automatiske oppdateringer: en innstilling for å holde et system oppdatert til den siste versjonen og en for å holde det oppdatert til en "anbefalt versjon." Selskapet utstedte sikkerhetsoppdateringen ved å endre hvilken iterasjon som ble anbefalt. Noen brukere som har gått gjennom flere systemoppdateringer etter hverandre kan ha deaktivert automatisk oppdatering til den nyeste versjonen, men ikke kjent om de automatiske oppdateringene til den anbefalte versjonen.
Dette systemet er utformet for å gi fleksibilitet, men teknologiselskaper reagerer vanligvis på lignende problemer ved ganske enkelt å fortelle brukerne om en sikkerhetsoppdatering og sterkt anbefale at de bruker den. I det minste på den måten ville brukerne ha beholdt kontrollen over hvordan og når programvaren ble oppdatert.