Artikel top billede

Denne populære router gør dine filer frit tilgængelige for alle

En router med usb-port og tilslutning af en harddisk, så dine filer kan hentes via nettet, er smart, men den er langt fra sikker. Her er problemerne og løsningen.

Mange bredbånds-routere har en usb-port, der gør det muligt at koble en ekstern harddisk på og derved giver den NAS-funktionalitet.

En praktisk og smart løsning til at bygge et fælles lagercenter i hjemmet, så alle husstandens beboere nemt kan få adgang til indholdet.

Ofte kan man også tilgå informationerne på harddisken via nettet, eksempelvis via en web-grænseflade eller via ftp.

Men man skal holde tungen lige i munden, når man tager sådanne tjenester i brug. Mange ender nemlig med en løsning, der er piv-åben for alle og enhver.

Dårlig brugergrænseflade

I de sidste par år er routere fra Asus blevet meget populære, specielt modeller som RT-N66U, RT-AC66U, RT-N65U, RT-N56U og flere andre i RT-serien.

Faktisk har vi her på Computerworld testet en af modellerne og givet den meget rosende ord med på vejen.

Den store popularitet, som Asus' routere nyder, er da heller ikke ubegrundet.

Produkterne har været markedsledende i rækkevidde, ydelse i kombination med mange gode funktioner, herunder en indbygget usb-port, der giver mulighed for at koble en harddisk til routeren.

Ligeledes er der mulighed for ftp-tjenester og en tjeneste knyttet til Asus' AiCloud-løsning. Sidste år blev der fundet en fejl knyttet til AiCloud-tjenesten på flere Asus-modeller. Den blev dog hurtigt rettet gennem en firmware-opdatering.

Men ftp-problemerne er der stadig.

Det beskriver Clas Mehus, der er Computerworld-journalist i Norge.

Sikkerhedsproblemerne, der er knyttet til ftp-mulighederne i Asus' routere, er som udgangspunkt ikke en fejl, men et resultat af brugergrænsefladen.

Er man ikke opmærksom på softwarens opsætning, kan man nemlig aktivere en ftp-tjeneste, hvor der ikke skal bruges brugernavn og password - med andre ord et anonymt login, som er helt åbent.

Instruktionerne i opsætningsvejledningen kan nemt misforstås, og standardforslaget er en åben konfiguration, lyder det fra Clas Mehus.

Benytter du vejledningen til opsætning af ftp-serveren er standardvalget "Limitless access", hvilket giver alle adgang. Der bliver godt nok oprettet en bruger, der hedder "Family" og "Family "bliver også foreslået som password - i stedet for at tvinge brugeren til at finde sit eget. De to andre muligheder giver mere begrænset adgang. Kilde: Computerworld Norge.

Opretter man ftp-tjenesten uden at benytte vejledningsfunktionen, vil den som udgangspunkt være åben for alle. Det burde nok være omvendt. Kilde: Computerworld Norge

Der gives ingen advarsel eller information om, at en anonym ftp-tjeneste er mulig. Hvis Asus havde gjort dette tydeligt eller krævet, at brugeren oprettede en konto med brugernavn og password, havde problemet været langt mindre.

Gennem tjenesten ShodanHQ har den norske journalist fundet hundredevis af åbne Asus-routere i Norden, herunder naturligvis også i Danmark.

Computerworld i Danmark har selv besøgt en af de åbne NAS-opsætninger, der er lokaliseret på Fyn.

Her var der direkte adgang til koncertbilletter, arbejdskontrakter, billeder og alt muligt andet privat indhold.

Brugervenlighed fremfor sikkerhed

Med tanke på, at dette indhold er helt privat, er der ingen tvivl om, at familien ikke har til hensigt at dele disse data.

Mange er måske slet ikke klar over, at ftp-funktionen er slået til. Andre har måske prøvet indstillingen og glemt at slå den fra.

Men resultatet er det samme. Private dokumenter og indhold ligger frit tilgængeligt på nettet.

Der er direkte adgang til denne harddisk på Fyn, der er tilsluttet nettet gennem en Asus-router.

Sikkerhedsekspert Peter Kruse nikker genkendende til de sikkerhedsproblemer, der kan opstå i forbindelse med routeren.

"Vi oplever rigtig mange lækager, der stammer fra NAS-systemer, der ikke er konfigureret korrekt. Fabriksindstillingerne er meget ofte usikre. Når man opsætter både routere og NAS-servere, så er det rigtig vigtigt, at man forholder sig til sikkerheden."

Og han konkretiserer med et rigtigt uheldigt tilfælde:

"Vi har haft en sag med en lægepraksis, der havde opsat systemet forkert, hvilket betød, at Google crawlede informationerne og gjorde dem søgbare på nettet. Personfølsomme data blev simpelthen indekseret af Google."

Han peger på, at producenterne også har en del af ansvaret.

"Producenterne forsøger at gøre systemerne så brugervenlige som muligt, hvilket betyder, at sikkerheden ofte er slået fra. Det er ændret i operativsystemer, men eksisterer i meget høj grad stadig blandt producenter af hardware, eksempelvis routere," vurderer han.

Tag selv kontrollen over din router

Hvis du ikke anvender ftp-adgang til harddisken på din router, skal funktionen deaktiveres.

Er det en funktion, du gerne vil anvende, så gennemgå indstillingerne og opret brugere med gode password.

Det er heller ikke muligt at anvende krypteret ftp på NAS-løsningerne.

Det betyder, at brugernavn og password sendes via nettet i klartekst, hvilket også er en sikkerhedsrisiko, dog af mindre omfang.

Hvis du vil anvende https, altså en krypteret forbindelse, sammen med din Asus-router, skal du benytte dig af AiCloud-tjenesten, der understøtter kryptering.

Asus' cloud-tjeneste har også en stribe andre sikkerhedsfunktioner som eksempelvis Password Protection Feature, der låser tjenesten, hvis man forsøger at logge på med det forkerte password mange gange.

Ikke kun Asus

Det er dog ikke kun Asus' routere, der er berørt af problemet.

Der er også andre producenter, der har NAS-tjenester på menuen, eksempelvis Netgear.

Men Asus er uden sammenligning den mest populære producent blandt forbrugerne, og derfor er problemet størst her, også selv om det ikke er et teknisk problem, men bunder i misforståelser i brugerfladen.

Læs også:
Test: Synology 1813+ er en toplækker NAS

Test: Suveræn router sætter svimlende fart på dit netværk




Brancheguiden
Brancheguide logo
Opdateres dagligt:
Den største og
mest komplette
oversigt
over danske
it-virksomheder
Hvad kan de? Hvor store er de? Hvor bor de?
Fiftytwo A/S
Konsulentydelser og branchespecifikke softwareløsninger til retail, e-Commerce, leasing og mediebranchen.

Nøgletal og mere info om virksomheden
Skal din virksomhed med i Guiden? Klik her

Kommende events
Datadrevet forretning 2021: Sæt automatisering og data på den strategiske dagsorden

Ved at anvende data på den korrekte måde, kan du og din virksomhed for alvor sætte skub i konkurrencen. Der ligger en værdifuld viden om kunder, kundeadfærd, konkurrenter, markeder og meget andet i den data, der svæver rundt omkring os. Med den nyeste teknologi er det endda blevet nemmere at automatisere disse processer.

16. juni 2021 | Læs mere


Cloud giver dig fleksibilitet, skalerbarhed og agilitet – men hvordan håndterer man sikkerheden?

Cloudsikkerhed handler om effektiv orkestrering og automatisering for at muliggøre hurtig detektion af og reaktion på incidents. Det handler om at eliminere kompleksitet, det handler om at fortsat sikre smidighed og fleksibilitet. På dette seminar bliver du klogere på hvordan du planlægger, designer, implementerer og kører dit cybersikkerhedsprogram effektivt.

23. juni 2021 | Læs mere


Effektiv drift og support af applikationer i Dynamics 365 FO

Med Microsoft Dynamics 365 for Finance and Operations (FO) er forretningssystemet flyttet i skyen. Dermed er det slut med store opgraderingsprojekter, og virksomheder og organisationer skal i stedet være klar til løbende opdateringer, som sendes ud flere gange om året. Det kræver et særligt fokus på effektiv drift af applikationerne, hvis stabiliteten i applikationerne skal opretholdes og konkurrenceevnen bevares. I dette webinar bliver du inspireret til, hvordan du får mest muligt ud af din investering i Microsoft Dynamics 365 FO med en driftsaftale, så platformen udvikler sig sammen med din forretning.

24. juni 2021 | Læs mere






Premium
Pär Fors stempler ind som ny CEO hos NNIT: Her er hans første store opgaver som topchef
Mandag rykkede Pär Fors ind på hjørnekontoret hos NNIT. Efter 14 år med Per Kogut ved roret har den 55-årige svensker nu taget over. Med en masse international erfaring i rygsækken skal han nu tage konsulenthuset til næste niveau. "Når man er ny som mig, så kan man stille dumme spørgsmål. Det er en god mulighed, der ikke bør gå til spilde," siger han til Computerworld.
CIO
Der findes ikke noget vigtigere for din virksomhedskultur end psychological safety
Klumme: Forskningen er entydig: Vidensarbejde er mere effektiv, når du tør stille spørgsmål, rejse kritik og indrømme fejl helt uden frygt for at blive straffet eller gjort til grin. Hvis du ikke har fokus på denne del af din virksomhedskultur, så lever din virksomhed og dine medarbejdere ikke op til deres fulde potentiale.
White paper
Ét klik kan lægge din virksomhed ned: Sådan bekæmper du mailtrusler
Mailbårne angreb er blandt de mest udbredte og ofte mest alvorlige cybertrusler. Dette whitepaper fra F-Secure giver overblik over, hvordan de mest udbredte mailbårne trusler fungerer, hvordan de detekteres – og hvordan du beskytter din organisation.