就安全性而言,很少有消费设备比网络附加存储驱动器更糟糕,尤其是家用小型 NAS 服务器。这些设备是为了存储您的整个“多媒体生活”而设计的,其中一些设备不会以任何方式保护您的数据,因为它们是真正的筛子。 10 月 16 日星期四,ISE 安全研究员 Jacob Holcomb 在 Black Hat Europe 2014 会议上进行了演示。一段时间以来,这位黑客一直在深入研究互联设备的安全性。此时,他对消费级 NAS 服务器产生了浓厚的兴趣。
迄今为止,他已经剖析了大约十个模型 - 除了最受欢迎的 Synology 模型之外 - 初步结果很明确:他成功地以管理员权限(root)侵入了所有模型。在一半的情况下,他甚至不需要进行身份验证。“我才刚刚开始我的研究,我已经在这些模型中发现了 22 个安全漏洞。这比我之前研究过的路由器要差得多 »”,雅各布·霍尔科姆解释道。
简而言之,NAS 路由器有点像黄油。要到达那里,方法总是相同的。你必须扫描网络服务(HTTP、SMB、SMTP、FTP、Telnet 等)、扫描连接端口、寻找入口。提供商提供的用于存储管理的 Web 应用程序也可以隐藏令人惊喜的惊喜。最后我们还可以对源码进行分析,网上经常可以找到。
漏洞种类繁多:代码注入、跨站脚本、缓冲区溢出、后门、无意数据泄露等。由于存在这些缺陷,这些设备现在成为全球黑客的首选目标之一,无论是窃取数据、招募僵尸还是渗透网络。“即使不是数十万,也有数十万。为什么要试图侵入定期更新的计算机或服务器,让你的生活变得复杂呢?这些设备数量众多且不安全,可能会导致互联网瘫痪”雅各布·霍尔科姆(Jacob Holcomb)估计,为了证明自己的话,他在演讲期间研究的三台设备上启动了计算机蠕虫。即:D-Link DNS-345、Trendnet TN-200/2011T1 和西部数据 MyCloud EX4。操作成功。
但为什么这些连接设备的安全性如此糟糕?“这些品牌实现的代码一般是由芯片组制造商提供的。然而,他们开发的软件不仅没有太多安全考虑,而且他们的代码很快就分布在整个行业。相同范围的所有型号都会发现相同的缺陷,因为它的源代码基本相同。从这个角度来看,它比路由器更糟糕,我们找不到这样级别的复制””,雅各布·霍尔科姆解释道。他的建议是:避免网络存储。这是这么说的。
另请阅读:Synology NAS 成为加密所有数据的勒索软件的目标
