Student spürt 190.000 frei zugängliche Netzwerkfestplatten auf

Netzwerkfestplatten, auch bekannt unter der Abkürzung NAS (Network Attached Storage), sind eine für private Zwecke gedachte Speichermöglichkeit. NAS-Systeme sind aber nicht dafür gedacht, frei im Internet aufzutauchen. mehr... Sicherheit, Hacker, Netzwerk Bildquelle: Axel Schwenke / Flickr Sicherheit, Hacker, Netzwerk Sicherheit, Hacker, Netzwerk Axel Schwenke / Flickr

Diese Nachricht vollständig anzeigen.

Jetzt einen Kommentar schreiben
 
Ich bin immer wieder erstaunt, wie dumm die Leute doch sind!
 
@DarthShader: So "dumm", wie die BMW-Besitzer, die glauben, ihr Auto sei verschlossen, wenn sie es mit der App steuern? Über 90% sind Anwender, die sich darauf verlassen, dass sie keine "offenen" Systeme betreiben. Und nicht jeder hat "irgendwas mit IT" gelernt. Dummheit und Unwissenheit sind 2 Paar Schuhe!
 
@Kobold-HH: Mit dem kleinen aber feinen Unterschied, dass die Leute selbst für ihre offene Tür verantwortlich sind!
Wer absolut keine Ahnung hat, der weiß auch nicht was ein NAS ist.
 
@DarthShader: Und dagegen getan werden kann auch nicht viel. Wie will man die Besitzer der NAS vor ihrer Unwissenheit schützen oder benachrichtigen? Werden in Zukunft eher mehr davon im Netz rumschwirren :-/
 
@wertzuiop123: Naja, hier könnten die Hersteller auch in die Pflicht genommen werden. Das bei der Einrichtung immer ein komplexer Schlüssel verlangt wird. Aber hier siegt wie so oft die Bequemlichkeit über die Sicherheit.
 
@wertzuiop123: Auf das NAS zugreifen und einfach mal den Ordner mit den Lieblingsbildern umbenennen ;-)
Dann eine Datei mit dem Hinweis der Lücke hinlegen....
 
@Spacerat: Und das bei allen 190.000 :D Müsste man automatisiert machen ^^
 
@wertzuiop123: Man könnte diese ja auch standardmässig nicht im Netz verfügbar machen. An jener stelle, an welcher diese Funktion aktiviert wird, wird auch gleich ein Passwort verlangt und es muss aktiv verneint werden, wenn man keins möchte.
 
@DarthShader: Hast Du das BMW-Problem eigentlich mitbekommen? Da ist leider der Hersteller (BMW) schuld. Abgesehen davon, kann jeder NAS-Hersteller eine einfache Software mitliefern, die dem unwissenden Anwender "Step by step" hilft, das System so sicher wie möglich einzurichten. Allerdings würde dies natürlich etwas Geld kosten und damit auch die Gewinne schmälern...
 
@Kobold-HH: Natürlich habe ich das mitbekommen. Aber wie du schon sagtest, ist BMW selber an der Sache schuld. Als Kunde kann man da nix machen. Beim NAS ist das anders und auch kein Hexenwerk.
Ich gebe dir natürlich Recht, dass man als NAS Verkäufer etwas dagegen tun könnte. Aber mal ganz ehrlich. Wer liest heutzutage noch Bedienungsanleitungen, oder legt die beigelegte CD ins Laufwerk (wenn überhaupt vorhanden)?
 
@DarthShader: Ich betreibe auch ein (ALDI)-NAS im Netz. Aber ob die durch den Router und durch eigenes Passwort von Außen wirklich unerreichbar ist, ist selbt mir unklar. Ich habe zumindest getan was in meiner Macht liegt. Doch Garantien gibt es nicht. Und Backdoors in Firmware sind hier doch laufend Thema. Deshalb wäre ich vorsichtig mit der Bezeichnung" "dumm".
 
@Kobold-HH: Hier muss man aber bitte unterscheiden: Backdoors und Firmwarebugs - da ist der Nutzer zu 99,9% unschuldig.
Aber schlechte Passwörter, Standardpasswörter, aktives aktivieren einer "Cloud"-Funktion auf den NAS Systemen... DA ist der User schon schuld. Ich hatte bisher NAS Systeme von: QNAP, Synology, WD, Iomega und Zyxel. Man wird überall gefragt, ob man die Cloud Funktion aktivieren will.. Also ganz von Zauberhand passiert hier gar nichts!
 
@DarthShader: sorry, aber jemand der sich ne netzwerkfestplatte zu hause anklemmt und dann über das netz daten abruft, und dabei nicht mal nen passwort eingeben muss.. in keinster weise, der macht echt was falsch. und da wohl die meisten hinter routern hängen, kann mir auch keiner erklären, dass da nicht was freigegeben werden musste um die festplatten überhauüt über das netz zugänglich zu machen...
 
@luckyiam: Also wenn man mal auf JA ICH WILL CLOUD geklickt hat - dann benutzen die meisten NAS-Lösungen uPnP um am Router das Port-Forwarding zu aktivieren (qnap fragt aber, ob man das will)
 
@DarthShader: Und trotzdem wird's dem Kunden vom Fachhändler angedreht, der Kunde der keine Ahnung hat vertraut drauf das der Händler ihm ein sicheres System verkauft hat. Wissen kann er das nicht, und man kann auch nicht von jedem verlangen dass er das Wissen haben muss.
 
@DarthShader: DA wäre ich mir nicht so sicher. Es gibt diese NAS-Systeme von z.B. Buffalo, Synology, QNap. Diese sind ja schon etwas aufwändiger und "müssen" quasi konfiguriert werden. Käufer dieser Produkte, ja, da gebe ich dir Recht. Aber diese weniger aufwendigeren NAS Systeme? Ich kenne die Software von z.B. Transcend, Western Digital oder D-Link nicht, aber es könnte da durchaus im unteren Preissegment Modelle geben wo Amazob Bestellung abschicken, auspacken, anschließen und läuft im Vordergrund steht.
 
@Kobold-HH: Unwissenheit schützt vor Strafe nicht ;)
 
Nicht besonderes...
Allein wenn man den Business-IP-Bereich der Telekom scannt, findet man so viele Festplatten die in einer DMZ an einem Router hängen.
Das tolle, da findet man auch Krankenakten von Fremden die Ärzte dort gespeichert haben.
Ein kleines Perl-Script langt da schon.
 
@Vietz: Dasselbe bei Webcams aller Art
 
@wertzuiop123: Krankenakten von anderen Personen find ich persönlich schon bisschen kritischer. ;)
 
@Vietz: Natürlich - habs nur ergänzt/erwähnt ;)
 
@Vietz: Das ist in Kliniken mit offenen WLANs ähnlich schlimm. Ich hatte vor wenigen Jahren mal einem Kollegen ein Tablet-Convertible von mir mitgebracht, weil es dem kurz nach der OP auf den Nerv ging sein iPad beim Filmegucken im Bett entweder die ganze Zeit festhalten oder zwischen irgendwas verkeilen zu müssen, damit der Bildschirm aufrecht stehenblieb.

Da ich aus Datensicherheitsgründen häufiger mein Tablet-Convertible ohne WLAN, BlueTooth und IR-Schnittstelle nutze, hatte ich ihm halt das gegeben, mit dem ich im Bekanntenkreis häufiger bei Netzwerkproblemen herumteste. Da waren natürlich auch Tools zum (WLAN-)PenTesting drauf und als es ihm wieder etwas besser ging hatte mein Kollege Langeweile.

Schnell hatte er raus, dass einige Doktoren, wohl der Bequemlichleit wegen, kleinere, ungesicherte, eher "privat" angelegte WLANs von ihren Büros aus betrieben, von denen man nicht nur auf die von den Doktoren wohl mit Tablets benutzten, ungesicherte Freigaben der Arbeitsrechner dieser Doktoren zugreifen konnte (auf denen auch schon Patientenakten lagen) sondern über deren Rechner auch ungesichert weiter in das eigentliche Intranet der Klinik kam.

Unter anderem kam er so z.B. an den Rechner der Küche, wo verwaltet wurde, welcher Patient was zu Essen bekam, so dass der Kollege auch nachdem die zuständige Schwester schon vorbeigekommen war und seine Wünsche aufgenommen hatte noch ändern konnte, was es am nächsten Tag zu essen geben sollte.

Erschreckenderweise war mit dem freien Zugang da aber nicht Schluss, sondern es waren auch Server der Klinikverwaltung zu sehen und der Kollege konnte sich dann die Notizen der Ärzte in seiner eigenen Krankenakte ansehen. Echt Klasse. Früher musste man einen Heidenaufstand machen, damit man sich mal den Ausdruck seines eigenen Blutbild ansehen durfte, wenn man wissen wollte ob das auch alles zu den Werten passte, was einem der Doktor erzählte. Heute kann man sich die eigene und bei Bedarf auch gleich die kommentierten Krankheitsgeschichten der anderen Patienten ansehen.

Das scheint auch kein Jahre alter Einzelfall zu sein, denn von jemandem der neben einem anderen Krankenhaus wohnt, bekam ich neulich zu hören, dass er schon häufiger mal seinen WLAN-Router-Namen mit einem anderen in der Liste verwechselt hätte und dann nicht an seine MP3s, sondern in einem Netz mit ganz anderen Netzwerkfreigaben gelandet wäre auf denen medizinische Berichte lagen. Tolle Zustände sind das. Da braucht vermutlich bloß mal jemand auf die Idee zu kommen an der Medikation in den Krankenakten etwas zu ändern und wenn dann das Personal nicht aufpasst, hagelt es Vergiftete und Tote.

Dann doch lieber offene Heimserver.
 
@resilience: Unglaublich. Dennoch vorstellbar. Womit bewiesen wäre, dass es an jeglichen Bewusstsein und technischen Verständnis fehlt. Hier hilft zu einem Teil Aufklärung, zweitens dem Verbot eigene und mitgebrachte Hardware am (internen Klinik) Netzwerk anzuschließen, drittens dieses zumindest Stichprobenartig zu kontrollieren und letzlich auch eine technische Sperre zb. über die MAC Adresse sodass nur bestimmte Geräte zugelassenen werden.
WLANs müssen dann zusätzlich abgesichert werden, dass die verbundenen Gerät sich nicht gegenseitig sehen. Alles andere hilft wenig. Denn wie heißt es. Warum leckt sich der Hund die Eier, weil er es kann. Warum entstehen solche Sicherheitslücken? Weil man es kann. Also eigene und ungesicherte Geräte im Netzwerk zu betreiben. Den "Tätern" kann man das nichteinmal übel nehmen, die wissen es oft nicht besser.
 
Das die NASe gern mal ungeschützt im Netz liegen ist jetzt nichts neues... Er soll mal nach Osten schauen... In Russland gibt es noch ein paar mehr dieser "Angebote" inkl. Familienfotos und und und...
Und ja, der Piraterie-Aspekt ist definitiv nicht von der Hand zu weisen, aber in Russland eben auch egal ;)
 
Geht das dann über einen FTP-Zugang? Oder wie will er an die Daten rankommen?
Die Web-Oberflächen der NASse sind ja eigentlich immer per Username/PW gesichert...
 
@borbor: Ja, meist standardmäßig mit admin/admin oder admin/leer :/ Brauchst nur ein paar durchtesten
 
@wertzuiop123: Hmmm, aber das Anmelden per Web-Oberfläche auf dem NAS lässt sich ja nun nicht automatisieren, oder?
 
@borbor: Wird schon jemand hinbekommen ;) In dem konkreten Fall ist ja kein Passwort drin. Ob man bei allen Herstellern dazu gezwungen wird - kA - anscheinend nicht. Bei einem großen Prozentteil ist es eben auch oft noch "admin"
 
@borbor: warum sollte sich das nicht automatisieren lassen? Das ist ein Einzeiler per curl oder wget
 
Mit IPv6 wird das in den Jahren noch viel einfacher. Viele Laien setzen sich damit nicht auseinander oder können es nicht weil es für denen zu schwer ist.
 
@Menschenhasser: Meer mit viel STRO. :-)
 
ich glaube die meisten wissen nicht dass sich ihr nas den port nach draußen per upnp öffnet... daher denken die meisten wohl sie müssten für ihr lokales netz keine passwörter verwenden... der nachteil der bequemlichkeit...
 
@Darkstar85: Naja man packt es aus und schließt es an den Router an - ohne was zu ändern. Soweit dürfte das ganze keine Probleme geben - man ist ja nur im Heimnetz. Diejenigen, die sich auch den Außenzugriff konfigurieren wird es dann treffen.
 
Wie kann das sein? Egal, wie das NAS konfiguriert ist - mit oder ohne Kennwort.
In der Regel sollte es im LAN stehen und wohl kaum ein Router lässt per default eingehende Verbindungen zu. Hier muss dann schon eine große Portion Dummheit und halbwissen im Spiel sein. Denn wer hat den Router geöffnet?
 
@WaylonSmithers: ueber uPnP. Netzteilnehmer koennen, sofern der Router das zulaesst, Portfreigaben selbststaendig anlegen
 
@zwutz: Dazu müssen aber zwei Bedingungen erfüllt sein. Das NAS muss eine upnp Anforderungen senden, der Router muss diese Anfrage annehmen. Beides sollte im Standard deaktiviert und nicht möglich sein. Es hanbelt sich also um einen Anwenderfehler aus Unwissenheit oder tatsächlich und einen Fehler oder Sicherheitslücke in beiden Geräten und damit eine Verkettung unglücklicher Umstände. Wäre nur in einen Gerät upnp aktiv, würde nichts passieren.
 
Nur gut dass es ein 18-jähriger war. Nicht auszudenken wenn ein Minderjähriger die ganzen Pornos auf den Platten gefunden hätte...
 
NAS sind für private Zwecke gedacht... so so. Und drei Absätze weiter steht dann was vom "großen deutschen Automobilhersteller". Natürlich ist es so, dass man NAS gerne und überall verwendet. ;)
 
Da sieht man mal wieder wie einfach es ist, heutuzutage irgendwas zu hacken
 
@LZ123: das ist noch nichtmal ansatzweise gehackt. das hat mit dem begriff hacken rein garnichts am hut!
 
wie schwer kann es sein, in dem meist Webfrontend ein paar Nutzer mit jeweiligem Paßwort für den Zugriff zu hinterlegen und das NAS per Hand nur mit IP Subnet-Mask u NTP-Server (lokal) zu füttern UND den restlichen Berg Settings zu deaktivieren?
Kommentar abgeben Netiquette beachten!

Video-Empfehlungen

WinFuture Mobil

WinFuture.mbo QR-Code Auch Unterwegs bestens informiert!
Nachrichten und Kommentare auf
dem Smartphone lesen.

Folgt uns auf Twitter

WinFuture bei Twitter

Interessante Artikel & Testberichte

WinFuture wird gehostet von Artfiles