Si parlava dei prodotti QNAP (NAS) qualche giorno fa in lista. Ecco un "simpatico problema" (decidete voi come chiamarlo ;-) ) che affligge l'attuale firmware dei loro prodotti: http://seclists.org/fulldisclosure/2009/Sep/255 """ Advisory: Crypto backdoor in Qnap storage devices (CVE-2009-3200) Overview: The premium and new line of QNAP network storage solutions allow for full hard disk encryption. When rebooting, the user has to unlock the hard disk by supplying the encryption passphrase via the web GUI. However, when the hard disk is encrypted, a secondary key is created, added to the keyring, and stored in the flash with minor obfuscation. Impact: The encrypted hard disk can be unlocked and potential sensitive contents access by attackers who obtain physical or network access to the hard disk and flash. """ (aggiungiamo anche che non c'era menzione di questa seconda chiave nella documentazione del prodotto, per cui l'utente... non sapeva!) Nota: i modelli di NAS QNAP di cui si parlava in lista qualche giorno fa sono il TS-209 e TS-219 che non appaiono nella lista di questo advisory. Il motivo e' che da poco tempo non viene piu' supportata la funzione di crittografia in hardware del disco da parte del firmware in questi modelli. I processori orion/marvell (arm) usati nel ts-209/ts-219 presentano un engine crittografico hardware, ma per qualche motivo (forse performance non elevatissime) il supporto software per il loro uso e' stato eliminato di recente. La backdoor pero' rimane sui firmware di qualche mese fa... Nota: sembra che l'unico modo di recuperare questa funzione sara' passare a Debian ;-) http://plugcomputer.org/plugforum/index.php?topic=197.0 Ciao, Emanuele P.S.: una release del firmware di pochi giorni fa cerca di arginare il "problema"(vedi sezione "Updates"): http://www.baseline-security.de/downloads/BSC-Qnap_Crypto_Backdoor-CVE-2009-3200.txt -- Per iscriversi (o disiscriversi), basta spedire un messaggio con OGGETTO "subscribe" (o "unsubscribe") a mailto:linuxtrent-request@xxxxxxxxxxxxx