Artikel top billede

Denne populære router gør dine filer frit tilgængelige for alle

En router med usb-port og tilslutning af en harddisk, så dine filer kan hentes via nettet, er smart, men den er langt fra sikker. Her er problemerne og løsningen.

Mange bredbånds-routere har en usb-port, der gør det muligt at koble en ekstern harddisk på og derved giver den NAS-funktionalitet.

En praktisk og smart løsning til at bygge et fælles lagercenter i hjemmet, så alle husstandens beboere nemt kan få adgang til indholdet.

Ofte kan man også tilgå informationerne på harddisken via nettet, eksempelvis via en web-grænseflade eller via ftp.

Men man skal holde tungen lige i munden, når man tager sådanne tjenester i brug. Mange ender nemlig med en løsning, der er piv-åben for alle og enhver.

Dårlig brugergrænseflade

I de sidste par år er routere fra Asus blevet meget populære, specielt modeller som RT-N66U, RT-AC66U, RT-N65U, RT-N56U og flere andre i RT-serien.

Faktisk har vi her på Computerworld testet en af modellerne og givet den meget rosende ord med på vejen.

Den store popularitet, som Asus' routere nyder, er da heller ikke ubegrundet.

Produkterne har været markedsledende i rækkevidde, ydelse i kombination med mange gode funktioner, herunder en indbygget usb-port, der giver mulighed for at koble en harddisk til routeren.

Ligeledes er der mulighed for ftp-tjenester og en tjeneste knyttet til Asus' AiCloud-løsning. Sidste år blev der fundet en fejl knyttet til AiCloud-tjenesten på flere Asus-modeller. Den blev dog hurtigt rettet gennem en firmware-opdatering.

Men ftp-problemerne er der stadig.

Det beskriver Clas Mehus, der er Computerworld-journalist i Norge.

Sikkerhedsproblemerne, der er knyttet til ftp-mulighederne i Asus' routere, er som udgangspunkt ikke en fejl, men et resultat af brugergrænsefladen.

Er man ikke opmærksom på softwarens opsætning, kan man nemlig aktivere en ftp-tjeneste, hvor der ikke skal bruges brugernavn og password - med andre ord et anonymt login, som er helt åbent.

Instruktionerne i opsætningsvejledningen kan nemt misforstås, og standardforslaget er en åben konfiguration, lyder det fra Clas Mehus.

Benytter du vejledningen til opsætning af ftp-serveren er standardvalget "Limitless access", hvilket giver alle adgang. Der bliver godt nok oprettet en bruger, der hedder "Family" og "Family "bliver også foreslået som password - i stedet for at tvinge brugeren til at finde sit eget. De to andre muligheder giver mere begrænset adgang. Kilde: Computerworld Norge.

Opretter man ftp-tjenesten uden at benytte vejledningsfunktionen, vil den som udgangspunkt være åben for alle. Det burde nok være omvendt. Kilde: Computerworld Norge

Der gives ingen advarsel eller information om, at en anonym ftp-tjeneste er mulig. Hvis Asus havde gjort dette tydeligt eller krævet, at brugeren oprettede en konto med brugernavn og password, havde problemet været langt mindre.

Gennem tjenesten ShodanHQ har den norske journalist fundet hundredevis af åbne Asus-routere i Norden, herunder naturligvis også i Danmark.

Computerworld i Danmark har selv besøgt en af de åbne NAS-opsætninger, der er lokaliseret på Fyn.

Her var der direkte adgang til koncertbilletter, arbejdskontrakter, billeder og alt muligt andet privat indhold.

Brugervenlighed fremfor sikkerhed

Med tanke på, at dette indhold er helt privat, er der ingen tvivl om, at familien ikke har til hensigt at dele disse data.

Mange er måske slet ikke klar over, at ftp-funktionen er slået til. Andre har måske prøvet indstillingen og glemt at slå den fra.

Men resultatet er det samme. Private dokumenter og indhold ligger frit tilgængeligt på nettet.

Der er direkte adgang til denne harddisk på Fyn, der er tilsluttet nettet gennem en Asus-router.

Sikkerhedsekspert Peter Kruse nikker genkendende til de sikkerhedsproblemer, der kan opstå i forbindelse med routeren.

"Vi oplever rigtig mange lækager, der stammer fra NAS-systemer, der ikke er konfigureret korrekt. Fabriksindstillingerne er meget ofte usikre. Når man opsætter både routere og NAS-servere, så er det rigtig vigtigt, at man forholder sig til sikkerheden."

Og han konkretiserer med et rigtigt uheldigt tilfælde:

"Vi har haft en sag med en lægepraksis, der havde opsat systemet forkert, hvilket betød, at Google crawlede informationerne og gjorde dem søgbare på nettet. Personfølsomme data blev simpelthen indekseret af Google."

Han peger på, at producenterne også har en del af ansvaret.

"Producenterne forsøger at gøre systemerne så brugervenlige som muligt, hvilket betyder, at sikkerheden ofte er slået fra. Det er ændret i operativsystemer, men eksisterer i meget høj grad stadig blandt producenter af hardware, eksempelvis routere," vurderer han.

Tag selv kontrollen over din router

Hvis du ikke anvender ftp-adgang til harddisken på din router, skal funktionen deaktiveres.

Er det en funktion, du gerne vil anvende, så gennemgå indstillingerne og opret brugere med gode password.

Det er heller ikke muligt at anvende krypteret ftp på NAS-løsningerne.

Det betyder, at brugernavn og password sendes via nettet i klartekst, hvilket også er en sikkerhedsrisiko, dog af mindre omfang.

Hvis du vil anvende https, altså en krypteret forbindelse, sammen med din Asus-router, skal du benytte dig af AiCloud-tjenesten, der understøtter kryptering.

Asus' cloud-tjeneste har også en stribe andre sikkerhedsfunktioner som eksempelvis Password Protection Feature, der låser tjenesten, hvis man forsøger at logge på med det forkerte password mange gange.

Ikke kun Asus

Det er dog ikke kun Asus' routere, der er berørt af problemet.

Der er også andre producenter, der har NAS-tjenester på menuen, eksempelvis Netgear.

Men Asus er uden sammenligning den mest populære producent blandt forbrugerne, og derfor er problemet størst her, også selv om det ikke er et teknisk problem, men bunder i misforståelser i brugerfladen.

Læs også:
Test: Synology 1813+ er en toplækker NAS

Test: Suveræn router sætter svimlende fart på dit netværk




IT-JOB

Unik System Design A/S

Systemspecialist til Microsoft Cloud

Cognizant Technology Solutions Denmark ApS

Abinitio Architect
Brancheguiden
Brancheguide logo
Opdateres dagligt:
Den største og
mest komplette
oversigt
over danske
it-virksomheder
Hvad kan de? Hvor store er de? Hvor bor de?
Jobindex Media A/S
Salg af telemarketing og research for it-branchen, it-kurser og konferencer

Nøgletal og mere info om virksomheden
Skal din virksomhed med i Guiden? Klik her

Kommende events
Undgå cyberkatastrofen med automatiseret kontrol over sensitive data

Når cyberkriminelle gennemtrænger din sikkerhedsinfrastruktur, bruger de i snit 48 dage til at danne sig et overblik over sensitive data, før de lukker dine systemer og data ned med ransomware. På dette seminar får du derfor et solidt grundlag for at sikre dig overblik over sensitive, virksomhedskritiske informationer. Derudover vil du få et praktisk indblik i, hvordan du beskytter dine informationer, så du er er mindre sårbar når cyberkriminelle trænger ind på dit netværk, samt et overblik over typiske angrebsformer og viden om, hvordan et ransomwareangreb foregår i praksis.

07. februar 2023 | Læs mere


Status og erfaringer fra fem år med GDPR

Vi samler nogle af Danmarks fremmeste GDPR-eksperter trådene efter knapt fem år. Dette giver dig et solidt overblik over de hidtidige erfaringer og sikker viden at basere din indsats på, når du skal planlægge og tilpasse din organisations indsats for at sikre compliance med det omfattende regelkompleks.

07. februar 2023 | Læs mere


ERP-trends 2023

Vi sætter også fokus på, hvordan udviklingen kommer til at påvirke din organisation, hvordan du bedst forbereder og planlægger ERP-indsatsen og om, hvilke faldgruber du skal være opmærksom på. Herunder hvordan den stadig mere udbredte – og uomgængelige – anvendelse af cloudservices vil påvirke dine muligheder for at få mest muligt ud af dine investeringer.

08. februar 2023 | Læs mere