聊聊飞牛本次安全事件暴露的问题|NAS安全性|0day漏洞
提示:本篇文章2793字符,阅读大约需要6分钟。
写在前面
今天本来是想聊另一个话题的,不过鉴于最近飞牛这个0day漏洞的事情闹得沸沸扬扬,本薇作为一名NAS博主觉得还是有必要聊聊NAS数据安全以及飞牛团队在应对此次重大安全事件所暴露的问题。
当然,开始文章之前,还是要提醒各位先断开飞牛NAS的公网访问并升级1.1.18系统,观察几日等待确认没有漏洞之后再开启公网访问。
任何NAS系统都有潜在漏洞
在开始批评飞牛之前,还是首先要明确一点,世界上没有绝对安全的操作系统,强如苹果也会出现0day漏洞,也需要及时发布安全更新来补上相关漏洞。
苹果0day漏洞先主动声明一点,本薇目前没有使用飞牛OS作为主力NAS系统,我相信绝大部分NAS博主的主力NAS应该也不会是飞牛系统。这也源于本薇这几年一直强调的一个观点:“NAS系统安全性是需要时间检验的,我们欢迎市场上不断出现新的NAS厂商来激励整个市场为用户群提供更好的服务,但是本薇不会直接去推荐大家购买或者使用这些NAS系统。”
如果只谈客观事实,本薇以前在使用某老牌厂商NAS系统的时候,因为那时候安全意识淡薄,端口暴露在公网也被直接攻击过。所以说无论接下来本薇聊NAS系统本身安全责任如何,要记住你永远是自己数据安全的第一责任人,数据泄漏或者丢失承担最大损失的永远是自己,而非服务提供商。同理,再安全的NAS系统,也扛不住弱密码、随意在公网暴露端口。总结起来就是企业对“系统安全”负责,你对“入口安全”负责,当相关风险发生时,他们或许有法律责任,但是你承担实际代价。
飞牛处理本次事件存在严重问题
0day漏洞
首先我们要明确一下什么是0day漏洞:还没补丁,已经能被利用的漏洞(厂商有“0天准备时间”的漏洞)。
先给结论,本次飞牛团队应对该漏洞的态度和处理方式有严重问题,从安全治理角度看,是严重失当的。本薇就带大家先树立一下本次安全事件的时间线。
飞牛应对漏洞的处理措施?
目前根据蓝点网梳理的时间线,本次飞牛重大安全问题时间可以追溯到1月20日前后。
然后飞牛官方于1月22日发布v1.1.15版本修复漏洞。
但是需要注意的是,在这个时间点前后,飞牛官方并未发布任何安全公告来促使用户升级系统或者采取断开公网链接的措施,看22日飞牛发布的版本更新没有提到任何相关的安全提示。而且同期,飞牛官方在社区回应基本上是将锅甩给用户使用HTTP访问。
1.1.15更新说明然而该更新版本并未能有效阻止攻击,根据后期反馈,该版本仍然存在非常严重的WebSocket注入漏洞,且即便已经部署HTTPS也会同样被感染。
论坛相关反馈在重大安全漏洞被集中报告的大约11天后,飞牛终于在其公众号连夜发布了重要安全更新通知。
飞牛重要安全通知然而细究这篇安全通知,飞牛团队还是没有改变论调“发现部分设备在公网环境下,存在异常访问风险”“我们发现了自身代码的一些疏漏”淡化本次事件影响。
严重问题
很多用户,包括飞牛公关团队持有这么一个观点,飞牛过去一周没有发布公告是在积极采取应对措施,避免给黑客提供线索。
然而这个观点从安全领域是片面的,如果该漏洞仅被研究人员发现,只存在理论风险,那么应对措施确实应该是私下修补,发布补丁之后再同步公告。
但是飞牛此次事件是该漏洞已经被黑客大规模利用,那么厂商的正确措施就应该反过来了,应该立刻预警,提供临时缓解措施,发布安全公告:明确存在严重漏洞,说明该漏洞目前影响的版本,是否已经观察到攻击,并要求受影响的用户立即断开公网访问、关闭端口或者某项服务、关闭远程管理等。
如果没有采取上述预警措施,其后果只会导致:用户继续暴露在公网,攻击者已经知道该漏洞且正在利用该漏洞,只有用户被蒙在鼓里,随着时间推移,感染规模呈现指数级上升,即为信息不对称失控。
因此,总结来说,就是“修好才能公告”这个说法只在漏洞研究阶段成立,不适用于漏洞已经暴露,攻击正在进行中。厂商可以不公开PoC,可以不公开漏洞细节(避免被更多人利用),但必须公告告知用户风险等级和影响范围。
说实话,本薇在写这篇文章前,是有思考过是否应该归责于飞牛团队本身过于年轻,应该给他们更多的时间去成长和完善相应的安全机制。然而,一个不可否认的现实是,飞牛自公测版推出已经一年多的时间了,他们还在最近推出了搭载飞牛OS的官方硬件产品,这意味着该系统起码在其内部团队来看已经趋近于成熟了,可以推出到市场进行商用了。
飞牛evo2如果这次重大安全事件爆发在飞牛0.x的公测版本时候,本薇会说这件事更多的是用户的责任,要尝鲜公测版不成熟的系统,就要承担相应的安全风险。但是就此次事件,本薇可以说大部分是飞牛团队自己的责任,NAS系统最重要的就是安全性,这一点做不好或者应对不及时,无论你的系统UI有多美观,功能多么全面丰富,一次重大安全事故就可以抹除用户对你的全部信任,而这种信任的重新建立需要更长的时间和更大的精力去弥补。
总结
本薇在过去多篇文章都多次强调过个人NAS的安全性问题,如果你觉得安全设置和验证太麻烦,个人最佳建议就是把NAS纯粹当成一台娱乐工具,这样数据无论是丢了还是系统崩溃了,直接重做系统,电影什么的重新下回来就行。被入侵了?黑客最多只能带走你的电影列表,没有任何攻击价值(当然还是要谨防被当成“肉鸡”攻击其他设备)。
当然,此次事件也不能看成是完全的坏事,飞牛团队如果能从此次事件中吸取教训,在下次应对时处理更及时更有效,那么就还不算晚。
这就是本期的全部内容了,如果这篇文章对您有帮助的话,欢迎您在评论区多多讨论,也欢迎关注、点赞、打赏一键三连,您的支持对我非常重要。
我是冥冰薇,点个关注不迷路,我们下期再见。
关注图作者声明本文无利益相关,欢迎值友理性交流,和谐讨论~

值友5468374518
校验提示文案
SuperRice
校验提示文案
打肿你的脸
校验提示文案
风君子
校验提示文案
娱乐专用
校验提示文案
加辣俾海盗
校验提示文案
多行善事
校验提示文案
我叫小声声控
校验提示文案
leve-muma
校验提示文案
我叫小声声控
校验提示文案
多行善事
校验提示文案
加辣俾海盗
校验提示文案
娱乐专用
校验提示文案
风君子
校验提示文案
leve-muma
校验提示文案
SuperRice
校验提示文案
值友5468374518
校验提示文案
打肿你的脸
校验提示文案