WD: инцидент с удаленным стиранием данных My Book Live и My Book Live Duo — это хакерская атака на пользователей

[Ark1774]

Серия My Book Live была представлена ​​на рынке в 2010 году, а последнее обновление прошивки этих устройств было получено в 2015 году.
Критическая уязвимость найдена в 2018.
Сэкономили на поддержке, потеряли в репутации.

[edogs]

Тут интересно что это никак не отразилось на стоимости акций.
Походу дела народ уже приучили что дыры это нормально.
В свое время хотели брать эту серию, т.к. получалось дешевле даже чем отдельно диски купить, но остановила проприеритарщина с управлением только через их центр или необходимость колхозить свой юникс на коробочке.

[ZetaTetra]

Для непонятливых, чем NAS лучше подключаемой к роутеру док-станции с дисками?

Поясню мысль:

Был у меня NAS от компании Promise со встроенным eDonkey(P2P) клиентом, компания Promise выпустила очередную версию прошивки, в которой этот самый клиент был несчадно вырезан. И вместо полноценного сетевого устройства я получил "сувенир" без возможности откатиться.

После такого финта ушами, я прикупил роутер с P2P-клиентом и подключил к нему жёсткие диски через док-станцию.

Более того, вся эта конструкция в итоге стоила меньше чем один NAS и управляется с одного роутера, который даже с капризами от вендора (который может тоже удалить P2P [в моём случае не может, ибо не проприетарщина]), можно либо заменить роутер, либо подключить док-станцию к другому устройству с P2P клиентами и другими фичами.

Учитывая вышеизложенное, выходит что в случае с NAS'ом, переплата идёт за ту самую ОСь на устройстве, которая дублирует функции других устройств в сети и может содержать дополнительные дыры.

[Loggus66]

Док работает по USB. Далеко не везде есть 3.0, плюс кабели недешёвые, плюс ограничение по длине. Ну и ПО на роутере бывает всяким, может, mdadm в его репах отсутствет или очень стар. Кроме того, я бы не стал грузить проц роутера ещё и обслуживанием raid5/6.

Только современные роутеры лишены этих недостатков, но они стоят столько, что Б/У NAS со сторонней прошивкой за $30 просто выгоднее.

[noanswer]

старенький 2009(!) года нас на арме от synology делает дофига всего околобекапного например забирает по расписанию файлики по ftp с хостинга + на нем псевдо облако на Resilio Sync + кое какие ссылки на файлики для скачивания из интернета на которые никаких облаков не хватит + хранит музыку в хайрезе + торренты но с торрентами там как раз не очень хорошо по скорости…

так что не надо на нас недоговаривать… просто он вам не нужен.

[Stesh]

а последнее обновление прошивки этих устройств было получено в 2015 году.

Никого не защищая, объективности ради.

Есть нюанс, очень критичный в нашем случае. Если я правильно все понимаю, вся эта серия обозначена как End of Updates задолго до появления CVE-2018-18472. Последняя прошивка вышла спустя два года (возможно ради соблюдения гарантийных обязательств) после снятия девайса с производства (прошивка — 22.06.2015, дата окончания производства — 4-й квартал 2013)

По сути, пользователь сталкивается с болью, когда купленное устройство EOL, хотя ему еще работать и работать. Сканеры, принтеры, роутеры и т.д. Ладно, роутер с натяжкой, так как технологии подключения и пропускная способность сейчас радикально изменились. Но остальное попадает под эту категорию.

[Ark1774]

Я понимаю когда перестают добавлять/обновлять какой то функционал, но когда железка активно используется, а производитель не хочет закрывать критическую уязвимость, это удар в первую очередь по нему.
С андроидами столько боролись, чтобы хотя бы обновления безопасности производитель делал.

[akaAzazello]

Не защищая WD - от даты окончания производства прошло уже 7.5 года (а с выхода продукта, если не ошибаюсь - 10+ лет (они 2010 года)) - кто-то поддерживает так долго свои устройства в области электроники для частного пользователя ? (у Эпла доходит до 6 лет - но они лидер с большим отрывом).

И гарантия на жёсткие диски внутри(там 3, ну максимум 5 лет) ведь давно тоже истекла.

[DaemonGloom]

Роутеры — Микротик, например.

Хранилища — Synology выпустили новую версию (DSM 7) даже для устройств 2013 года, при этом устройства 2012 всё ещё указаны, как поддерживаемые. DS111 (2011 года) — имеет последнюю на текущий момент версию софта в ветке 6.2.

[akaAzazello]

Вы правы - они молодцы.

Мне кажется, что с WD сыграло роль, что они использовали угосающий PowerPC (в равной степени это относится и к MIPS - к моему личному сожалению - когда-то работал на обеих архитектурах - и сожалею, что они ушли - как и работающих на них инженеров стало невыгодно содержать).

В микротиках, помнится, ARMы, в Synology тоже? или что/то из PPC/MIPS/etc?

[DaemonGloom]

Микротики — ARM64, MIPSBE, SMIPS, TILE, PPC, ARM, X86, MMIPS и виртуалки.
Synology — ARM и x86. Последнее обновление для PowerPC устройств — 2017 год и это 8 лет с момента выхода последней модели с подобными процессорами.

[Ark1774]

Как недавно выяснилось, об уязвимости в WD знали с 2014, так что всё ещё хуже, чем я думал.

[DaemonGloom]

Проблема в том, что представлено это устройство было в 2011 году. Чуть меньше 4 лет поддержки для сетевого устройства — пользователей просто послали к чёрту. Duo — январь 2012, 3.5 года поддержки.
Это при условии, что вы купили устройство тогда, когда оно только вышло. Иначе срок поддержки становится совсем незначительным.

[todoman]

Хаб «Старое железо»?

[Old_Chroft]

Хаба «Мёртвое железо» нет :D

[nukler]

[sarcasm]
Хорошо что скоро придет IPv6 и нельзя будет сканировать огромное количество адресов.
[/sarcasm]
Зато каждое устройство получит свой личный белый IP в интернете. Тогда и заживём. Просто так получилось что WD выпустило рановато свое решение. Без обид.

[Ark1774]

Некоторые провайдеры IPv6 поштучно продают и не факт что другие не начнут поступать так же.