NAS-Systeme leicht knackbar

15. Oktober 2014, 11:36
  • security
image

Oft werden NAS-Systeme als sichere Alternative zu Cloud-Diensten bezeichnet, weil die Daten lokal gespeichert werden.

Oft werden NAS-Systeme als sichere Alternative zu Cloud-Diensten bezeichnet, weil die Daten lokal gespeichert werden. Doch Network-Attached-Storage-Systeme sind oft zu schwach vor Attacken geschützt. Cyber-Kriminelle haben bei den meisten Netzwerkspeicherlösungen ein viel zu leichtes Spiel. Gängige NAS-Produkte lassen sich von Hackern ohne grossen Aufwand kapern, um darauf gespeicherte Informationen zu stehlen, das Online-Verhalten auszuspionieren oder sich den Zugriff auf andere im selben Netz hängende Geräte zu verschaffen. Das ist das ernüchternde Ergebnis einer praktischen Testreihe des Security-Forschers Jacob Holcomb, der eine eigene Schadsoftware entwickelt hat, um die prekären Schwachstellen aufzuzeigen und die Hersteller zum Nachbessern zu bewegen.
"Ich habe diesen Wurm geschrieben, weil ich ein für allemal klarstellen wollte, welches Sicherheitsrisiko diese unsicheren Datenspeicher darstellen", erklärt Holcomb gegenüber 'BBC News' die Beweggründe für seine Arbeit. "Es gibt Beweise dafür, dass Cyber-Kriminelle schön langsam aufwachen und erkennen, welche Schätze diese Geräte für sie bereithalten", betont der Experte die wachsende Gefahr. Es sei davon auszugehen, dass Attacken auf NAS-Festplatten und ähnliche System in Zukunft deutlich ansteigen werden. "Die Informationen zur Anfälligkeit derartiger Geräte wurden bereits an die Hersteller weitergeleitet. Diese sind nun gefordert, die Schwachstellen schnellstmöglich auszumerzen", so Holcomb.
30 Schwachstellen identifiziert
Die Idee, einen eigenen Wurm zu schreiben, um die Sicherheitsgefahren von Netzwerkspeicherlösungen unter die Lupe zu nehmen, kam dem Security-Fachmann nach einer Testreihe mit zehn unterschiedlichen NAS-Systemen verschiedener Hersteller. "Viele Leute verbinden diese Geräte mit dem Router ihres Heimnetzwerks, um Familienmitgliedern die Möglichkeit zu geben, wichtige Dateien wie Backups, Fotos oder Filme zentral abspeichern zu können", erläutert Holcomb. Die Analyse habe insgesamt 30 bisher nicht dokumentierte Schwachstellen offengelegt. "Einige davon erlauben den Eindringlingen sogar, auch die Kontrolle über andere im selben Netz befindliche Geräte zu erlangen", schildert der Experte.
Die meisten Angriffspunkte wurden in den webbasierten User-Interfaces gefunden, mit denen sich die Einstellungen der Netzwerkspeicher verwalten lassen. "Wer sich hier Zugriff verschaffen kann, hat sein Ziel eigentlich schon erreicht, weil sich dort die meisten Schwachstellen ganz leicht ausnutzen lassen, indem Authentifizierungs-Tools umgangen oder gar völlig ausgeschaltet werden", meint Holcomb.
Demonstration auf Sicherheitskonferenz
Wer sich selbst davon überzeugen will, wie leicht es Hacker haben, gängige NAS-Systeme zu "knacken", hat dazu noch bis zum 17. Oktober in Amsterdam die Gelegenheit. Dort geht derzeit die Sicherheitskonferenz Black Hat Europe)

Loading

Mehr zum Thema

image

So arbeiten Googles interne Hacker

Hoodies, Plasmalampen, digitale Brandstiftung. Daniel Fabian, Leiter von Googles Team Red, zeigt Praktiken seiner Hacker-Gruppe.

publiziert am 2.2.2023
image

Cyberangriff auf Adesso Deutschland

Kriminelle haben Systeme kompromittiert und Daten kopiert. Kundendaten sind laut dem IT-Dienstleister nicht abgeflossen.

publiziert am 2.2.2023
image

Darkweb-Salärstudie: Das sind die Löhne der Cyberkriminellen

Für gefragte Malware-Entwickler gibt es Top-Löhne. Das Durchschnittsgehalt ist aber vergleichsweise bescheiden.

publiziert am 1.2.2023
image

Zurich investiert erneut in kanadische Cyberversicherung

Boxx Insurance hat unter der Leitung von Zurich in einer Serie-B-Finanzierung 14,4 Millionen US-Dollar gesammelt.

publiziert am 31.1.2023