Er NAS-en din trygg?
Uvedkommende kan få tilgang til filer på stort antall norske NAS-er i løpet av sekunder.
Mange har de siste årene satset på en NAS for å enkelt ha en sentralisert sted å lagre sine data. Med en NAS vil dataene kunne være lett tilgjengelig fra alle enhetene i nettverket. Har man ikke holdt tunga rett i munnen kan imidlertid dataene også være tilgjengelig for alle og enhver.
Tidligere har vi påpekt at mange - trolig uten å vite hva de egentlig har gjort - har delt alle sine data åpent på nettet via FTP. Dette gjelder i størst antall de som har utnyttet NAS-funksjonaliteten på Asus sin RT-serie av rutere. Nylig ble det også postet en større datasamling på nettet som innehold lister og sårbare Asus-rutere, samt brukernavn og passord for Asus' AiCloud-løsning - en funksjon for å aksessere filene sine over internett via et webgrensesnitt.
LES OGSÅ:
Brukernavnet og passordet kan også benyttes til andre tjenester på ruteren i mange tilfeller - for eksempel den integrerte VPN-løsningen. En av sikkerhetsekspertene som opprinnelig stod bak avsløringen av AiCloud-svakhetene omtaler VPN-tjenesten på Asus-ruterne som en gavepakke til kriminelle for å skjule sin egen nettaktivitet.
Asus har kommet med firmware-oppgradering til sine rutere som skal rette problemene. Et problem er imidlertid at få så langt har oppdatert. Asus produkter mangler funksjonalitet for helautomatisk oppdatering - for eksempel på den måten Windows Update i utgangspunktet er satt opp på i Windows.
Det er imidlertid på flere enheter enn Asus' rutere vi har sett åpen FTP - våre undersøkelser viser at enheter fra de fleste aktører er berørt og problemet er i forskjellig grad brukerfeil og en teknologi kalt UPnP. Dette gjelder blant annet NAS-er fra Synology, Qnap, Netgear og WD.
LES OGSÅ:
Tilgang i nettverket
På mange NAS-er - og rutere med NAS-funksjonalitet gjennom usb-porten - kan det være at man har valgt at alt av tilleggstjenester som FTP, webbasert filtilgang, filsynkroniseringstjenester og mer til er slått av. Alt man i utgangspunktet ofte ønsker, er at filene er tilgjengelige i lokalnettverket og direkte i operativsystemet.
For å aksessere filene man har på NAS-en via lokalnettverket benyttes en tjeneste vi gjerne refererer til som CFIS, smb eller Samba. Via denne protokollen kan man koble seg opp mot NAS-en og enkelt utføre filoperasjoner.
For eksempel kan du i Windows skrive \\<ip-adresse> eller \\<NAS-navn> for å aksessere filene på NAS-en. Du kan også velge å koble opp de delte katalogene på NAS-en som en nettverksstasjon, slik at den får stasjonsbetegnelse - for eksempel Z:\.
Det vil på sett og vis være naturlig å anta at dette er noe som kun fungerer i ditt eget lokalnettverk. Men det man ser via tjenester som ShodanHQ.com og Usikkert.no, er at svært mange NAS-er har denne tjenesten også eksponert mot internett.
I en del tilfeller vil man kunne koble seg opp og se katalogene, men man kommer ingen videre vei på grunn av passordbeskyttelse på katalogene. Her kan det være viktig på en del enheter at man ikke opererer med standardpassord (eksempelvis admin/admin eller admin/password) eller dårlige passord. Det er imidlertid mange som ikke har satt passord på katalogene - trolig med den oppfatning at dette uansett bare er delte ressurser som er tilgjengelig i ens eget nettverk og ikke via internett.
I utgangspunktet har en del internettleverandører stoppet muligheten for at man kan koble seg til denne typen delte kataloger. Dette kan imidlertid omgås via VPN-tjenester.
LES OGSÅ:
Hvorfor?
Hvorfor blir de delte katalogene som kun trenger å være tilgjengelig på lokalnettverket tilgjengelig via internett? Problemet ligger i at enhetene benytter UPnP-funksjonaliteten i rutere til å åpne opp tilgang til det.
Oppsettet av UPnP gjøres hos enkelte gjennom innstillingsvalg i NAS-en og ruteren av brukeren. Men trolig er ikke brukeren bevisst på hva som egentlig skjer når tjenesten tas i bruk. Vi vil ikke se bort i fra at det på en del NAS-er kan skje uten at brukeren må foreta seg noe spesielt, bare enkelte tjenester er aktivert. For eksempel kan det være at brukeren aktiverer en i utgangspunktet sikker web-tjeneste på NAS-en, men gjennom konfigurasjonen som skal gjøre denne tjenesten tilgjengelig på nettet blir også direkte tilgang til filene via smb aktivert.
UPnP benyttes for å gjøre konfigurasjonen av en del tjenester enklere for brukeren. Tjenester i dette tilfelle kan være maskinvareenheter eller programmer - omså spill. På mange rutere var UPnP i utgangspunktet slått av da tjenesten begynte å bli vanlig, men de fleste har etter hvert hatt dette på som standard for å gi brukeren en "enklere brukeropplevelse" og redusere mengden henvendelser til brukerstøtten. For eksempel en Bittorrent-klient og enkelte VoIP/videokonferanse-tjenester vil hos mange i dag være noen av de vanligste tjenestene som tar i bruk UPnP.
I utgangspunktet får man normalt sett bare én ip-adresse fra sin internett-leverandør. Denne ip-adressen skal deles mellom alle enhetene man har tilkoblet sitt lokalnettverk. Forskjellige tjeneser/applikasjoner benytter forskjellige porter - f.eks. web er 80 og 443, FTP er 21 og smb er 445. Via UPnP blir her ruteren satt opp slik at henvendelser på port 445 blir sendt videre til NAS-ens IP-adresse internt på ditt nettverk - for eksempel 192.168.1.10. UPnP hjelper her til å sette opp at trafikken som blir initialisert utenfra til visse porter mot din ip-adresse, rutes videre til riktig enhet på lokalnettverket bak ruteren.
I tillegg er det enkelte som har NAS-en - og andre servere - direkte eksponert mot internett, uten at det trengs noen videresending av porter. Dette vil normalt sett være bedrifter og organisasjoner.
På en del NAS-er vil man også kunne sette opp spesifikke ip-adresser eller serier av ip-adresser som skal ha tilgang til NAS-en. Dette er noe som kan være med på å forbedre sikkerheten.
Andre farer
UPnP kan også bety en risiko på andre områder. Det vi ser er at mange videoovervåkningskameraer, smarthus-systemer for varme og lys, konsumentelektrinikk som mediaspillere og tv-er, skrivere og flere andre produkter blir liggende tilgjengelig på nettet gjennom UPnP. En del har også blant annet klienter for fildelingsnettverk hvor man har fjernadministrasjon som eksponeres mot nettet.
Man har også sett eksempler der malware, virus og lignende utnytter UPnP - blant annet for å kunne sette maskiner opp i botnet, gi fjerntilgang til maskinen osv. Tidligere har man sett sikkerhetshull i teknologier som Flash der UPnP har blitt utnyttet.
For mange vil ikke UPnP være nødvendig å ha aktivert i ruteren. Hvis man har tjenester som skal eksponeres mot internett anbefaler vi at dette settes opp manuelt i ruteren. Hvordan dette gjøres går normalt sett vil gjerne framgå av dokumentasjonen til ruteren. I dokumentasjonen for ruteren vil det også stå hvordan UPnP kan deaktiveres.
At andre har tilgang til en NAS betyr ikke bare tilgang til dataene som er der. Det kan også i mulighet for å slette dataene som ligger der, plante trojanere og annen data eller bruke NAS-en som en server for distribusjon av ulovlig materiale.
LES OGSÅ:
Sjekke seg selv?
Med de samme tjenestene man bruker for å finne enheter med sårbarheter - for eksempel ShodanHQ.com og Usikkert.no - kan man også sjekke seg selv. Det er imidlertid ingen garanti for at ip-adressen man har har blitt indeksert av disse tjenestene.
Man bør derfor gå over alle innstillingene på NAS-en og ruteren selv. I tillegg til at funksjonalitet som setter opp NAS-en via UPnP i ruteren, bør kataloger naturligvis passordbeskyttes. På en del NAS-er blir man veiledet til å sette opp rettighetsstyring når en delt katalog opprettes - på andre må dette gjøres manuelt, og det kan være standardkataloger som er opprettet automatisk som er helt åpne.
Et generelt tips vil også være at de mest sensitive dataene man har bør krypteres - det gjelder enten det ligger på en pc, en NAS eller på en skytjeneste. Informasjon som kan være nyttig for id-tyverier ligger delt hos mange. Private nakenbilder fra nordmenn har funnet veien til pornowebsider etter gjennomgang av NAS-er som står åpent tilgjengelig på nettet.
Må endres
Det er ingen tvil om at noe må gjøres rundt styringsprogramvaren for både NAS-er og rutere. I noen tilfeller kan det være snakk om brukergrensesnittmessige endringer og nye vurderinger for hvorvidt man skal ofre litt brukervennlighet på bekostning av bedre sikkerhet.
Å sikre seg mot at brukere gjør dumme valg kan være vanskelig. Problematikken er nå såpass utbredt at man kan ikke skylde på at brukere gjør feil. Det er imidlertid helt grunnleggende elementer som utviklere hos store aktører bommer fullstendig på. Man kan undre seg over hvordan utviklere som ellers er i stand til å implementere svært avansert funksjonalitet på denne typen enheter - og som etter alt å dømme er svært dyktige - samtidig kan velge å gjøre elementære feil når det gjelder sikkerhetsmessige elementer. For eksempel for Asus AiCloud-tjeneste for fjerntilgang filer, var passordene lagret ukryptert. I tillegg var passordfilen mulig å laste ned via nettet. En ting er at passordfilen kan lastes ned, men hadde denne vært kryptert kunne skaden vært noe begrenset.
Et videre problem er responstiden fra flere produsenter. Vi ser eksempler der penetrasjonstestere/hackere blir truet med søksmål hvis de avslører sikkerhetsbrister - dette i stedet for at produsentene tar ansvar. Det er for en rekke rutere og NAS-er kjente sikkerhetshull som produsentene ikke benytter ressurser på å rette opp.
Det er ingen tvil om at tjenester som ShodanHQ kan gjøre at flere produsenter får øynene opp. Teknologien bak disse tjenestene er ikke spesielt avansert og vi vil anta at flere lignende tjenester kan dukke opp. Trolig kan det også være at de allerede finnes, men er for en lukket brukergruppe.
Man risikerer også tjenester som kan indeksere data på åpne tjenere og gjøre disse søkbare. For problemene knyttet til Asus AiCloud og AiDisk har det kommet fillister fra tusenvis av åpne rutere. Det kan gjøre det enklere å søke opp spesifikke data - inkludert navn. Hvis noen lager en tjeneste som indekserer filene trenger det ikke bare være filnavn som indekseres, men også innholdet i for eksempel tekstdokumenter, PDF-er, e-post-databaser med mer.
Et sentralt element blir også at produsentene må endre hvordan deres NAS-er og rutere oppdateres. Det må komme på plass løsninger for automatiske oppdateringer. Men naturligvis - det hjelper ikke med mulighet for automatisk oppdatering hvis produsentene ikke kommer med oppdateringer.
LES OGSÅ:
