CT 2/2021 Artikel "Speichern ohne Verluste - NAS sicher betreiben"

[MartinP_Do]

Es geht in dem Artikel um ein NAS, welches von einem Verschlüsselungs-Trojaner befallen wurde. Dem Benutzer war gar nicht bewusst, dass das NAS aus dem Internet erreichbar war ...


Sinngemäß steht in dem Artikel, dass nach einem Reset des Vodafone Kabelrouters CBN CH6640e dieser automatische Portfreigaben über UPNP selbständig wieder aktiviert .... dadurch war das NAS vom Benutzer unbemerkt von außen erreichbar, weil dieses seinerseits UPNP selbsttätig nutzte, um sich eine Portfreigabe einzurichten. Über diesen offenen Port haben sich die Online-Kriminellen Zugang verschafft, und das NAS über eine Sicherheitslücke kompromittiert ...

Soweit ich gesehen habe, ist der obige Router nicht die Vodafone Station. Aber diese Lücke ist ja irgendwie wirklich haarsträubend... Konfiguriert man UPNP weg, und nach einem Router-Reset können alle Geräte im Heimnetz sich trotzdem selbsttätig Portfreigaben bohren ....

Ist bekannt, wie sich die Vodafone Station bzgl. UPNP in Lieferzustand verhält - "vergisst" die auch die Einstellungen bei einem Reset, und wird mit aktiviertem UPNP geliefert?

Der Benutzer hat zwar auch eine gewisse Mitschuld, weil er ein Update für das NAS, was die Sicherheitslücke behoben hätte nicht zeitnah eingespiel hat, aber trotzdem. Er hatte bei der Einrichtung des Routers jedenfalls UPNP ausgeklickt, und war der Meinung, dass diese Einstellung einen Reset übersteht ...

Ich bin mir aber nicht ganz sicher, ob der Artikel bzgl. "Reset" oder "Werksreset" nicht etwas verwechselt - Wenn der Router nach einem Stromausfall (bei dem man ggfs. gar nicht zu Hause war) plötzlich UPNP freigibt, finde ich das deutlich schlimmer, als wenn er das erst nach Abwickeln der "Werksreset" Prozedur tut. Aber selbst dann finde ich es zumindest ungeschickt, in den Werkseinstellungen UPNP freizugeben ...



WLAN-Kabelrouter - CBN CH 6640E

 

[Tom_123]

Hi,

mit Reset ist im c't Artikel ein Werksreset gemeint und auch die VF Station ist davon "betroffen". Also immer schön UPnP deaktivieren/kontrollieren.

 

[MartinP_Do]

Also nicht ganz so übel. Ärgerlich ist das Trotzdem.

Bei meiner UM Fritzbox ist soweit ich weiß in den Werkseinstellungen Portfreigabe über UPNP deaktiviert.

 

[addicted]

Der Benutzer hat zwar auch eine gewisse Mitschuld, weil er ein Update für das NAS, was die Sicherheitslücke behoben hätte nicht zeitnah eingespiel hat, aber trotzdem. Er hatte bei der Einrichtung des Routers jedenfalls UPNP ausgeklickt, und war der Meinung, dass diese Einstellung einen Reset übersteht ...

"Gewisse Mitschuld" gestehe ich ihm zu, aber nicht vergessen, dass die Software-Hersteller regelmäßig Verantwortung von sich weisen. Das geht einfach nicht. Die Aufgabe eines NAS ist die sichere Speicherung von Daten. Wenn da ein Interface ist und das NAS automatisch die Sicherheitslücke darin im Internet publiziert, dann ist das einfach scheiße und hat nichts mit sicherer Speicherung zu tun.
Und ja, UPnP sollte natürlich nach einem WR aus sein.

mit Reset ist im c't Artikel ein Werksreset gemeint und auch die VF Station ist davon "betroffen". Also immer schön UPnP deaktivieren/kontrollieren.

Die Tatsache, dass man heutzutage davon ausgehen muss, dass es nicht sicher ist, eine Software allgemein öffentlich erreichbar zu haben, finde ich eine Schande!
Autos müssen auch von vorneherein sicher sein. Ich muss nicht nach jedem Tanken die Bremsen wieder einschalten. Ich erwarte das auch von Software. Privacy und Security by Default!

 

[millen]

Bei meiner UM Fritzbox ist soweit ich weiß in den Werkseinstellungen Portfreigabe über UPNP deaktiviert.

Genau, in der FritzBox muss man UPNP für jedes Gerät separat freigeben. Die Geräte tauchen dann unter Freigaben in der FB auf.

 

[boba]

Die Fritzboxen haben einen "Netbios Filter", der generell Netbios/cifs Datenverkehr mit dem Internet blockiert, ungeachtet jeglicher manueller oder automatischer Portfreigaben. Von daher würde das mit einer Fritzbox nicht auftreten.

Allerdings finde ich den Netbios-Filter jetzt eben auf meiner Fritzbox nicht mehr. Eigentlich war der unter Internet->Freigabe->Listen unten in der Ansicht zu finden, zusammen mit anderen globalen Filtern wie für smtp. Ist das auf meiner Firmware 7.20 nicht mehr existent (die Hilfe dazu gibts aber noch), oder ist das möglicherweise eine der Dinge, die Unitymedia auf von ihnen gestellten Boxen standardmäßig forciert und nicht abschaltbar gemacht hat? Hat jemand eine selbstgekaufte Fritzbox und könnte mal nachschauen, ob das an der genannten Stelle bei aktueller Firmware 7.20+ noch vorhanden ist?

 

[millen]

@boba Ärgerlich dass das erst jetzt aufkommt. Habe vor ein paar Tagen von der Beta auf die 07.23 geupdatet, hier ist die NetBios Option ebenso verschwunden (FritzBox 6660).

 

[Joerg123]

Autos müssen auch von vorneherein sicher sein.

und ist es beim Auto wirklich besser ? abgesehen davon, dass ein Vergleich eben nie dasselbe bedeutet = immer irgendwo hinkt
Letzten Endes schon allgemein bekannt, wenn man etwas danach sucht, ist in Bezug auf Sicherheit die computergesteuerte Technik auch ein Witz, die Autoindustrie sorgt nur dafür, dass das nicht wirklich publik wird. Es gibt verschiedene Varianten Zugang zum Auto zu bekommen (Kommunikation Auto<>Schlüssel mitlesen, sollte sich der Autoschlüssel daheim (oder auf der Arbeit/sonst wo) in Funkreichweite zum abgestellten Auto befinden, macht es den Zugriff noch leichter). Hat der Wagen aktive Reifenluftdruckkontrolle (also mit Druck-Messsensorgen an den Felgen = per Funk angebunden), sagt dir jeder 2te Hacker ebenfalls, dass der Zugriff auf die Auto-Elektronik einfach machbar ist.
Das selbe gilt für Kredit- und Bankkarten in Bezug auf Online-Nutzung: wird von den Banken tot geschwiegen, da die Gewinne den Schaden übertreffen, aber ist ein Problem.

Computertechnik bekommt man nicht wirklich sicher und bedarf ständiger Updates. Letzten Endes muss man sagen, dass sensible Daten physikalisch nicht ans Internet angeschlossen gehören, oder wenn, dann nur über eine VPN-Verbindung. Müssen Daten mit externen Partnern geteilt werden, ist es anzuraten einen externen Speicherplatz eines Dienstleisters zu nutzen, welcher die Systeme sicher hält, auch wenn es mehr Arbeit bedeutet die Dateien online zu stellen.
Nur weil etwas technisch möglich ist, wie die Freigabe von NAS-Laufwerken usw ins Internet, muss man das nicht zwingend so konfigurieren, auch wenn es jeder Laie zu Hause so einrichten kann. "Technisch möglich" ist es auch sich vor einen Zug zu werfen, Bahnstrecken sind in der Regel nicht eingezäunt, oder sonst wie nicht erreichbar - anzuraten ist es dennoch nicht, da mit negativen Auswirkungen auf die Gesundheit zu rechnen ist.

An das Netbios-Menü der Fritzbox kann ich mich auch noch erinnern, voreingestellt ist es aber deaktiviert = ohne es umkonfiguriert/geöffnet zu haben, wird es bei jetzt fehlendem Menü ebenfalls nicht offen sein. Interessanter die Frage, wie es bei Leuten aussieht, die es aktiviert haben, oder beim Zurückspielen einer Konfig-Sicherung mit aktiver Freigabe.

 

[meeven]

Aus diesem Grund, läuft bei mir ne richtige Firewall hinter der VF Station. Upnp natürlich deaktiviert

 

[addicted]

Computertechnik bekommt man nicht wirklich sicher

Das ist doch überhaupt nicht richtig. Es gibt formale Verifikation, da kannst Du beweisen, ob etwas eine Sicherheitslücke hat oder eben nicht. Auch die anderen von Dir genannten Beispiele (Funkverbindungen im und zum Auto) sind übrigens ein Softwareproblem, was man im Protokoll lösen kann. Das ist nicht deshalb unsicher, weil es nicht besser ginge, sondern weil es Leute gemacht haben, die entweder zu wenig Ahnung oder zu wenig Budget hatten.
Bloß weil es niemand macht, heißt das nicht, dass es nicht geht.

Mein Vergleich zielte natürlich darauf ab, dass ein Auto in einer betriebssicheren Ausstattung für das Fahren erscheint, also Airbags sind an, Gurte sind eingebaut und die Befestigungen ordentlich, A-,B- und C-Säule sichern die Fahrgastzelle bei einem Überschlag. Da kommt keiner und sagt: "Achso, ne, wer beim Autofahren nicht sterben will muss sein Auto halt im eigenen Garten hin und her rollen. Wer ist denn bitte so blöd und fährt damit auf eine öffentliche Straße?".
Aber ein NAS fährt ohne Airbags und ohne Gurte ganz von selbst auf eine öffentliche Straße und das ist plötzlich mein Problem und nicht das des Herstellers?

 

[Joerg123]

das Problem ist, dass sich mechanische Bestandteile wie Gurt und Säulen und Unfälle relativ simpel berechnen lassen, die folgen Naturgesetzen, die Bestand haben. In einem gewissen Mass zumindest, niemand wird selbst bei vorliegen aller erdenklicher Parameter berechnen, welche Zahl beim Roulette fallen wird. In der Computertechnik werden viele Lücken erst mit der Zeit gefunden, an welche keiner so direkt gedacht hat, weil es einfach sehr komplex ist, weil teilweise auch die technischen Vorraumsetzungen, Hardware und Computerleistung, sich deutlich verbessert haben. Und da behaupte ich einfach, dass das immer so sein wird, sobald eine gewisse Komplexität erreicht ist. Das ganze wird dann noch von wirtschaftlichen Zwängen getrieben, wenn man zu lange testet und im Vergleich zur Konkurrenz erst 3 Jahre später mit einem minimalen und veraltertem System auf den Markt kommt, kann man nichts verdienen. Heutzutage darf man schon froh sein, wenn beim Erscheinen von Hard- oder Software zumindest die Grundfunktionalität gegeben ist, der Rest wird nachgeliefert - dafür ist es wenigstens (relativ) günstig, was auch der Preiskampf auf dem Markt regelt.
Natürlich kann man da dran arbeiten, wenn Sicherheitslücken bekannt werden, kann man diese schließen, oder Zugriffsmöglichkeiten sperren, bis eine echte Lösung gefunden ist. Das ist aber sehr komplex, daher meine Meinung, dass man Schnittstellen ins Internet von Fachleuten betreuen lässt.

Die nicht gegebene Haftung der Hersteller ist natürlich ein Problem, aber wie erklärt würde man ewig und 3 Tage auf z.B. NAS-Laufwerke, warten, die nach ausgiebiger Sicherheitsüberprüfung auch noch einen hohen Preis hat und auch niemals zu vergessen: viele Sicherheitslücken werden durch den Anwender gemacht durch falsche Konfiguration. OK, könnte der Hersteller auch direkt deaktivieren und weg lassen, aber in einem Lan mögen Funktionen sinnvoll sein, welche im Internet nicht freigegeben sind.

 

[addicted]

Nachdem wir jetzt herausgefunden haben, was theoretisch möglich und praktisch realisierbar ist, und uns dabei auch im Wesentlichen einig sind, gehen wir nur noch in der Meinung auseinander: Ich halte die Situation für grauenvoll und arbeite drumherum und Du nimmst sie hin und arbeitest drumherum. Das ist absolut in Ordnung, niemand zwingt uns dieselbe Meinung zu haben

 

[lupus]

Die Fritzboxen haben einen "Netbios Filter", der generell Netbios/cifs Datenverkehr mit dem Internet blockiert, ungeachtet jeglicher manueller oder automatischer Portfreigaben. Von daher würde das mit einer Fritzbox nicht auftreten.

Allerdings finde ich den Netbios-Filter jetzt eben auf meiner Fritzbox nicht mehr. Eigentlich war der unter Internet->Freigabe->Listen unten in der Ansicht zu finden, zusammen mit anderen globalen Filtern wie für smtp. Ist das auf meiner Firmware 7.20 nicht mehr existent (die Hilfe dazu gibts aber noch), oder ist das möglicherweise eine der Dinge, die Unitymedia auf von ihnen gestellten Boxen standardmäßig forciert und nicht abschaltbar gemacht hat? Hat jemand eine selbstgekaufte Fritzbox und könnte mal nachschauen, ob das an der genannten Stelle bei aktueller Firmware 7.20+ noch vorhanden ist?

Bist du dir da sicher? Wenn das NAS den http/https Port auf 80/443 per upnp öffnet dass dann Problem nicht existiert? Netbios ist doch was ganz anderes gewesen? Das dürfte doch nur SMB und sowas unterbinden? Netbios Eintrag ist meiner 6660 auch nicht vorhanden, keine Ahnung ob das überhaupt mal drin war.

 

[boba]

Der Netbios Filter der Fritzbox filtert laut Beschreibung Port 139 und 445, also die SMB Share Ports. http/https natürlich nicht - das ist für Webserver. Leider geht aus keiner einzigen Beschreibung dieser Schwachstelle genau hervor, was für ein Protokoll die Schwachstelle hat. Überall ist nur von "API" die Rede, aber nicht ob es das cifs API ist, also direkt smb, oder ob es ein Web-API auf http-Basis oder irgendwas selbstgebautes. Vermutlich war es wohl kein Netbios, sondern irgendein http-basiertes Web-API.

Ich habe den c't Artikel auch gelesen, und ich finde, dass der Fehler vermeidbar gewesen wäre, wenn man etwas aufmerksamer mit seinen Computergeräten umgeht. Der Anwender, dem das passiert ist, hat das folgende vernachlässigt:
- er hat auf dem NAS eine veraltete Firmware eingesetzt. In der aktuellen wäre die Schwachstelle nicht vorhanden gewesen
- er hat nach einem Factory-Reset des Routers nicht genau geschaut, wie sich das Gerät nun verhält
- er hat sein NAS nicht gekannt, denn in der Funktionsbeschreibung ist die upnp Funktionalität für den Remote-Zugriff erwähnt
- er hat sein NAS möglicherweise selbst geöffnet, denn laut einer NAS Geräteanleitung des entsprechenden Herstellers, die ich gefunden habe, muss man den remote Zugriff auf das NAS explizit in der Weboberfläche einschalten. Also nicht die automatische upnp Portöffnung direkt, sondern generell eine "Remote Access" Option. Auch wenn das standardmäßig aktiv sein sollte und explizit ausgeschaltet werden muss, erfordert es die Sorgfalt, dass man durch die Konfiguration solcher Geräte durchgeht und entsprechende unerwünschte Funktionen deaktiviert.

 

[lupus]

Ja, zumindest bei Synology muss das unter externer Zugriff explizit aktivieren. Wahrscheinlich auch keins der üblichen Sachen wie Adminkonto umbenennen, 2FA nutzen, Sperre der IP Adressen nach X Fehlversuchen bzw. ab dann nur noch lokalen Rechner zulassen, etc., genutzt.