Pwn2Own-hakkerikilpailu järjestetään kahdesti vuodessa, ja sitä sponsoroivat muun muassa Trend Micro ja Microsoft.
Kilpailun tavoitteena on löytää vakavia tietoturva-aukkoja suosituista laitteista ja ohjelmista, jotta valmistajat voivat korjata aukot ennen kuin pahantahtoiset hakkerit voivat hyödyntää niitä.
Pwn2Ownissa on mukana hyvää tarkoittavia hakkereita, jotka tunnetaan myös nimellä valkohattuhakkerit – verkkorikolliset ovat puolestaan mustahattuhakkereita.
Kilpailu järjestettiin hiljattain Irlannissa, ja siinä löydettiin useita kriittisiä tietoturva-aukkoja Qnapin ja Synologyn NAS-laitteista.
Kaksi Synologyn käyttöjärjestelmää alttiina
Synology tarjoaa erittäin suurta valikoimaa NAS-malleja, joihin on asennettu DSM-käyttöjärjestelmä. Yhtiöllä on myös pienempi valikoima malleja, joihin on asennettu BeeStation-käyttöjärjestelmä.
Molemmat järjestelmät ovat alttiita, ja näppärät hakkerit ovat löytäneet heikkouksia verkkolevymallien BeePhotos- ja Synology Photos -valokuvaohjelmistoista.
Näillä sovelluksilla pidetään kirjaa kaikista perheesi valokuvista NAS:ssa, jotta niitä voi käyttää esimerkiksi työpuhelimen sovelluksesta.
Lue myös: Mikä ihmeen NAS? (ja miksi tarvitsisin sellaisen?)
Qnapin varmuuskopiointi ja tiedostonhallinta alttiina
Hakkerikilpailussa paljastettiin myös taiwanilaisen NAS-valmistajan Qnapin kaksi haavoittuvuutta.
Toisessa tapauksessa kyse on NAS:n varmuuskopiointisovelluksesta nimeltä Hybrid Backup Sync, kun taas toinen haavoittuvuus on heikkous SMB-protokollassa.
SMB:tä käytetään tiedostojen siirtoon esimerkiksi NAS:n ja Windows-tietokoneen välillä.
Valmistajilla on 90 päivää aikaa korjata virheet
Pwn2Ownissa paljastuneet haavoittuvuudet ovat toki nopeasti pahantahtoisten hakkereiden hyödynnettävissä, minkä vuoksi hyökkäysten tekniset yksityiskohdat pidetään salassa.
Virustorjuntayhtiö Trend Micro paljastaa yksityiskohdat Zero Day Initiative -sivustolla vasta 90 päivää kilpailun jälkeen.
Tällä lähestymistavalla varmistetaan, että rikolliset eivät voi käyttää kilpailun tuloksia reseptinä omien rikostensa tekemiseen.
Päivitä laitteesi välittömästi
Synology sai päivityksen valmiiksi jo 48 tunnin kuluessa haavoittuvuuden löytämisestä. Niinpä valmistajan NAS-laitteet ovat taas turvallisia.
Qnap sai toimitettua kaksi päivitystä NAS-laitteisiinsa viikon sisällä haavoittuvuuden paljastumisesta.
Synology NAS:n suojaaminen:
BeePhotos-sovellus pitää päivittää, jos NAS-laitteessasi on BeeStation-käyttöjärjestelmä.
Päivitä puolestaan Synology Photos -sovellus, jos NAS-laitteesi on varustettu DSM 7.2 -käyttöjärjestelmällä.
- BeePhotos for BeeStation OS 1.1: Päivitä versioon 1.1.0-10053 tai uudempaan.
BeePhotos for BeeStation OS 1.0: Päivitä versioon 1.0.2-10026 tai uudempaan.
Synology Photos 1.7 for DSM 7.2: Päivitä versioon 1.7.0-0795 tai uudempaan.
- Synology Photos 1.6 for DSM 7.2: Päivitä versioon 1.6.2-0720 tai uudempaan.
Suojaa Qnapin NAS-laitteesi:
Aloita kirjautumalla Qnapin QTS-käyttöjärjestelmään selaimessa.
Siirry sovelluskeskukseen ja etsi ”SMB Service”. Valitse sitten Päivitä.
Etsi seuraavaksi App Centressä ”Hybrid Backup Sync” ja napsauta jälleen kohtaa Päivitä.
Päivityspainike ei tule näkyviin, jos NAS on jo päivitetty uusilla korjauksilla.