Vidåpen Asus-ruter?

Mange nyere bredbåndsrutere har en usb-port som gir mulighet for å koble til en ekstern harddisk og få NAS-funksjonalitet. Dette kan være svært praktisk – både for å ha et felles lagringssenter i hjemmet som man lett kan få tilgang til fra en rekke forskjellige enheter.

Gjerne tilbys det også funksjonalitet for å få tilgang til den tilkoblede harddisken via internett – for eksempel via webgrensesnitt eller ftp.

Men man skal holde tunga rett i munnen når slike tjenester tas i bruk – mange har endt opp med å gjøre private data tilgjengelig for alle og enhver.

LES OGSÅ:

Dårlig brukergrensesnitt?

De siste par årene har Asus' bredbåndsrutere blitt svært populære – spesielt gjelder dette modeller som RT-N66U, RT-AC66U, RT-N65U, RT-N56U og flere andre modeller i RT-serien. Ut i fra informasjonen vi har fra aktører i bransjen, har salget av Asus sine rutere i senere tid vært ekstremt og mye tyder på at Asus' salg alene kan være større enn de andre leverandørene av produkter i samme segment tilsammen.

Asus sine rutere har også vært våre favoritter, med bakgrunn i markedsledende rekkevidde og ytelse, kombinert med god funksjonalitet og stabilitet etter våre erfaringer.

Ruterne tilbyr en rekke muligheter for å utnytte en usb-harddisk koblet til ruteren. En av mulighetene er ftp-tjener, samt også løsninger knyttet til Asus' AiCloud-løsning. I fjor ble det blant annet kjent at det var feil knyttet til AiCloud-tjenesten på flere Asus-modeller. Dette skal raskt ha blitt fikset i form av en firmware-oppdatering.

Problemet knyttet til ftp-tjeneren er i utgangspunktet ikke en direkte feil, men et resultat av brukergrensesnittet. Aktiverer man ftp-tjeneren på en av måtene man kan aktivere den på, er med en-gangs innlogging uten bruk av brukernavn og passord mulig - altså anonym innlogging. Den andre måten å aktivere ftp-tjenesten på er via en oppsettveiledning som raskt kan misforstås, og der standardforslaget til valgt konfigurasjon gir åpen tilgang.

Det gis videre ikke informasjon/advarsler om at anonym tilgang til ftp-tjeneren er mulig. Hadde Asus her tydelig gitt informasjon om at anonym tilgang er tilgjengelig eller aller helst tvunget brukeren til å opprette konto med passord for ftp-tilgang med en gang kunne problematikken vært mindre.

Sett i lys av tjenester som for eksempel ShodanHQ kan man se at det finnes flere hundre Asus-rutere som står åpne i Norge. Og med tanke på hva innholdet her er, er det ingen tvil om at dette er ikke noe brukerne har gjort med hensikt.

Mange vet trolig ikke at de engang har ftp-tjenesten aktivert og bruker den heller ikke. Noen har kanskje prøvd innstillingen, men ikke deaktivert den. Resultatet er at mange har private dokumenter og bilder, samt data tilhørende arbeidsgiver, åpent tilgjengelig på nettet.

LES OGSÅ:

Aktiver brukerkontroll

Hvis du ikke bruker ftp-tilgang til ruteren vil det naturlige være at man deaktiverer dette. Er det funksjonalitet man ønsker å ha tilgjengelig, blir det at man gjennomgår innstillingene og setter opp brukere med gode passord og spesifiserer tilgangen.

Med tanke på sikkerhetsproblemene som tidligere har vært knyttet til AiCloud-tjenesten, vil det også være anbefalt at man påser at man har oppdatert styringsprogramvare (firmware) på ruteren. Oppgradering av firmware er på Asus sine rutere svært enkelt. På skjermen som kommer opp når man logger inn i administrasjonsgrensesnittet kan man trykke på versjonsnummeret som står oppgitt for firmware. Videre kan man bruke Check-knappen for å søke opp oppdatering.

Så vidt vi erfarer gir Asus ikke mulighet for å bruke kryptert ftp på deres rutere per i dag. Dette betyr at brukernavn og passord også vil overføres i klartekst. Her vil AiCloud-tjenesten gi bedre sikkerhet, ettersom det brukes kryptering (https).

AiCloud-tjenesten er avhengig av brukernavn og passord. Her bør man imidlertid blant annet påse at man har et godt passord for administratorbrukeren, ettersom denne i utgangspunktet settes opp med tilgang til tjenesten hvis den er aktivert. Her ble vi også litt overrasket over å se at AiCloud-tjenesten også søker opp andre delte kataloger i nettverket – for eksempel på en NAS eller pc-er – og setter opp mulighet til å aksessere disse. Hvis de delte katalogene er satt opp med innlogging må innlogging for dette riktignok oppgis før de kan aksesseres.

For AiCloud-tjenesten har Asus også valgt at en av sikkerhetsfunksjonene i utgangspunktet er avslått. Man har muligheten for å slå på funksjonen "Enable Password Protection Feature" i innstillingene i ruteren. Dette er en funksjon som angir at tilgangen til tjenesten skal låses hvis det blir for mange påloggingsforsøk med feil passord.

LES OGSÅ:

Ikke bare Asus

Det er ikke bare Asus' sine rutere som er berørt av et slikt problem. Vi ser også tilfeller med andre produsenter, samt de som har NAS-er stående åpne – blant annet via ftp og trolig uten å vite det. På grunn av det de store salgstallene til Asus blir problemet her mer synlig og utbredt.

Selv om det ikke er et direkte teknisk problem med Asus' rutere, håper vi på endringer i brukergrensesnittet.

Av andre rutere med åpen ftp mot usb-tilknyttet lagring, finner vi blant annet er en del Netgear-modeller. Det vi finner fra andre aktører er imidlertid langt mindre enn hva som er tilfellet for Asus' produkter.

Oppdatering 8.1.: Asus er i gang med å undersøke problemet. Det vil etter hvert komme en programvareoppdatering som endrer oppsettet slik at brukerne i større grad må gjøre beviste valg for at ftp-tjeneren skal kunne aksesseres anonymt.

LES OGSÅ: