Quando a equipe de segurança do Heise Online apontou que ainda existiam sistemas com versões antigas desse firmware (3.8) em operação, a companhia inicialmente respondeu com silêncio - e após um certo tempo, lançaram o Surveillance Station Pro v2.6. No presente momento, os usuários ainda precisam instalar essa atualização como um download direto. A app store da QNAP continua a oferecer a versão 2.5 vulnerável para download. Versões atualizadas do firmware para o vulnerável sistema de vigilância VioStor somente estava disponível a partir de ontem, dia 9 de Junho de 2013.
E a QNAP continua parecer fazer pouco caso sobre esse assunto. A página web da companhia não oferece nem informação sobre a natureza do problema, muito menos como seus clientes poderiam corrigir o mesmo. A única dica atualizada pode ser encontrada em uma postagem realizada por um empregado da QNAP em um fórum para usuários registrados. Enquanto o post apenas menciona de forma superficial o problema de segurança em potencial (que vem sendo noticiado na mídia de forma insistente por mais de uma semana), o mesmo também oferece alguns links funcionais para downloads relevantes. Um post similar com links para o firmware mais atual também está disponível para administradores VioStor.
Desde Março deste ano corrente de 2013, Tim Herres e David Elze da equipe de segurança da Daimler TSS Offensive Security tentaram notificar a empresa sobre a séria brecha de segurança que afetava seus sistemas, que tornou milhares de sistemas de vigilância altamente vulneráveis. Como a brecha de segurança, e as potenciais formas de explorá-la já estão sendo discutidas abertamente em fóruns relevantes por toda a Internet, os administradores desses respectivos sistemas devem agir imediatamente para a segurança de suas empresas.
Como, aparentemente, uma empresa pode agir com tanto desdem com relação a um problema de segurança tão sério como este? E não estamos falando somente em acessar as gravações dos vídeos de segurança das respectivas companhias que são clientes da QNAP, mas sim de algo mais sério que potencialmente pode acontecer: terrorismo. Imagine uma sabotagem no reator nuclear de Fukushima, que possui os mesmos sistemas de vigilância. Os rastros da sabotagem podem ser devidamente apagados e ninguém saberá o que ocorreu, ou quem são os respectivos responsáveis pela ação terrorista. E este é apenas um exemplo do pior que poderia acontecer em um tipo de companhia (no caso a nuclear). Outras empresas de outros ramos do mercado globa, mas de mesma importância, poderiam sofrer sérias consequências, com sistemas de segurança "preparados" para apagar os rastros de sabotadores, ou simplesmente, roubos, desvios, e outros crimes internos.
Saiba Mais:
- Heise Online: Piecemeal patches from QNAP (em Inglês)