Sicherheit – Malware und Sicherheitslücken auf dem NAS

Bin vorhin über einen interessanten Bericht auf Borns IT- und Windows-Blog gestolpert. Hier geht es um kritische Sicherheitslücken auf WD, NetGear, SeaGate und Medion NAS und dessen Ausnutzung. Natürlich sind wir hier im QNAPClub. Von QNAP-NAS ist hier in diesen Bericht zwar nicht die Rede, aber dass QNAP ebenso von Sicherheitsproblemen betroffen ist zeigen die Sicherheitshinweise von QNAP (auch im QNAPClub unter News nachzulesen):

Hier nur ein paar der letzten Wochen.


Dass diese Berichte ihre Berechtigung haben und nicht nur Schwarzmalerei sind, oder die Leute dazu bewegen sollen das neuste Update zu installieren, zeigen diese aktuellen Fälle hier im Club:

Malware-Fund nach Update auf "Malware Remover 3.3.0"


Das Thema ist durchaus ernst zu nehmen. Und wie der Bericht auf Borns IT- und Windows-Blog zeigt ist dies ein Problem, das wohl alle NAS-Hersteller trifft.


Es gibt für QNAP-NAS zwar ein paar Sicherheitstools, im Moment sind es 3½ Security Programme:

  • Standard Antiviren Programm (ClamAV) - schon installiert.
  • McAfee Antiviren Programm aus dem App Center - kostenpflichtig
  • Malware Remover aus dem App Center von QNAP – kostenlos, muss aber nachträglich installiert werden
  • Security Counselor (Beta ab QTS 4.3.5) aus dem App Center von QNAP - ist jedoch nur ein Zusammenfassung von Sicherheitsfunktionen, Apps und Einstellungen.

Aber leider verfügt keines der genannten Programm über einen On-Access-Scanner - also einen Scanner beim Datenzugriff. Ein Scan ist jeweils nur mittels einen Scan-Jobs möglich. Auch über eine entsprechende Firewall verfügt QNAP nicht.


Auch wenn dies viele nicht gerne hören wollen und ich es schon unzählige Male geschrieben habe - ich zitiere mich mal selbst (hmm, schon irgendwie schräg :D) :


Unterm Strich bestätigt dies wieder, dass ein NAS einfach nicht direkt ins Internet gehört. Würde ich aber auch nicht mit einem Server machen. Schließlich gibt es dafür VPN und Firewalls. Nicht alles was sich machen lässt sollte man auch machen.


Natürlich bietet QNAP solche schönen und netten Funktionen zur Einbindung des NAS ins Internet an. Und natürlich würde man gerne erwarten, dass diese Funktionen dann auch mit der entsprechenden Sicherheit funktionieren. In einer perfekten Welt wäre dies wohl so – dort würde es wohl auch keinen Cybercrime geben. Aber in der echten virtuellen Realität – oje, das klingt aber wieder... – also in Wirklichkeit sieht es aber leider ganz anders aus. Sicherheitslücken können erst geschlossen werden, nachdem und wenn sie entdeckt wurden. Bis dahin werden sie oft schon ausgenutzt, meist ohne dass dies vom Benutzer bemerkt wird. Leider bietet ein NAS so gut wie keinerlei aktiven Schutz gegen so etwas.

Für so einen aktiven Schutz gibt und benötigt es eigene Systeme. Von Firewall, Viruswall, VPN, Content Filter, Spam Filter, IPS etc. gibt es unzählige Möglichkeiten sein System und Netzwerk zu schützen. Aber sie haben alle 2 kleine Probleme: Sie kosten allesamt mehr oder weniger Geld und benötigen das entsprechende Wissen sie auch richtig einzusetzen. Größere Firmen haben für diesen Bereich nicht nur einen eigenen Spezialisten, sondern meist eine eigene IT-Abteilung, so komplex ist das Thema Sicherheit. Und von QNAP wird erwartet, dass dies für gratis, ohne Spezialsysteme und ohne Kenntnisse funktioniert?


Witziger Weise verwenden viele ein NAS deshalb - um die Daten aus dem Internet zugänglich zu machen - weil sie Bedenken bezgl. Datenschutz bei Cloudanbietern haben.

Aus meiner Sicht haben empfindliche Daten in keinster Weise etwas im Internet verloren. Sind die Daten nicht so empfindliche spricht auch nichts mehr gegen einen Cloudspeicher.


Versteht mich richtig: Ich will niemanden die geliebten Funktionen seine Daten ins Internet zu stellen oder von Außen zugänglich zu machen madig machen, aber man sollte sich schon des Risikos bewusst sein und entsprechende Maßnahmen ergreifen. Nur hoffen, dass alles passen und gut gehen wird ist eindeutig zu wenig. :D


Unterm Strich muss natürlich jeder für sich selbst entscheiden wie wichtig ihm seine Daten sind und welches Risiko man bereit ist einzugehen, die eigenen Daten nach Außen zu öffnen.



Mehr dazu unter:

QNAP Software-Update und Sicherheitshinweise

Malware-Fund nach Update auf "Malware Remover 3.3.0"

Sicherheit - Security Tools für die QNAP

Borns IT- und Windows-Blog

Wizcase.com

Kommentare 4

  • Zitat

    Und von QNAP wird erwartet, dass dies für gratis, ohne Spezialsysteme und ohne Kenntnisse
    funktioniert?

    Ich denke, dass ist die falsche Frage. Schließlich ist es ja QNAP, die durch ihre Produktspezifikationen und Werbungen beim Kunden ein Sicherheitsgefühl erwecken. Nehmen wir mal aktuelle Beispiele:


    Der Security Counselor integriert auch Anti-Virus- und Anti-Malware-Software, um den vollständigen Schutz Ihres QNAP NAS zu gewährleisten. Mit diesen Funktionen trägt der Security Counselor zur Sicherheit Ihres NAS bei und gibt Ihnen zusätzliche Gewissheit. [...]

    Ein Dashboard, um Sicherheitsbedrohungen immer einen Schritt voraus zu sein

    Die Aussagen sind doch eindeutig: Vollständiger Schutz und zusätzliche Gewissheit. Aber das ist noch zu toppen: Sicherheitsbedrohungen ist man immer eine Schritt voraus. (Vermutlich durch das stetige Beobachten der QNAPschen Glaskugel... ;-) )


    Ich möchte nicht noch mehr Zitate bringen, aber folgendes zusammenfassen. QNAP "verführt den unbedarften Kunden dazu, seine Daten per persönlicher Cloud sicher und einfach ins Netz stellen zu können. Der Kunde vertraut dabei auf die angebotenen Dienste von QNAP und auf ein Datensicherheit, die das Unternehmen nicht leisten kann.

    • Jap, da hast Du recht. Aber ich glaube grundsätzlich nicht was in der Werbung steht. Deshalb lese ich bei Produkten die Hochglanz-Produkt-Versprechen-Prospekte schon gar nicht mehr. Die würdige ich nicht mal mehr eines Blickes, bei keinem Hersteller und gehe sofort zu den technischen Spezifikation und Angaben. Nach den PR-Abteilungen verleihen ja Getränke Flügel und NAS werden scheinbar zu Sicherheitsexperten. Wer's glaubt wird... und so weiter. ;)

    • Ich denke, dass die meisten Leute die hier im Forum aktiv sind, sich über kurz oder lang ein richtiges Bild über die Eigenschaften und Fähigkeiten ihrer Nas-Systeme machen. Problematischer sind die x-hundertausend anderen User, die ihre Geräte ahnungslos im Netz hängen haben. Dass sie durch gezielte Malware-Angriffe ihre Daten ungewollt mit anderen teilen oder diese sogar verlieren ist die eine Seite. Gefährlicher ist allerdings die Möglichkeit, die angreifbaren Geräte zu Botnetzen zusammenzufassen und damit "volkswirtschaflichen" Schaden anrichten zu können. So, wie es sich in der VPNFilter Maleware andeutete. Mit entsprechend krimineller Energie werden sich Möglichkeiten ergeben, die wir uns heute noch gar nicht vorstellen können.


      By the way: Man verbietet offiziell den Verkauf von interaktiven Puppen, weil durch das Mikrofon und den Zugang zum Internet, eine Abhörmöglichkeit bestehen würde.


      "Gegenstände, die sendefähige Kameras oder Mikrofone verstecken und so Daten unbemerkt weiterleiten können, gefährden die Privatsphäre der Menschen. Das gilt auch und gerade für Kinderspielzeug"

      Mit der Formulierung "verstecken" habe ich so meine Schwierigkeiten, denn eingebaut sind Kameras und Mikrofone mittlerweile in vielen Geräten. Wie Spielkonsolen, Notebooks Smartphones,Tablets, Smartcams usw.. Auch sind alle Geräte ähnlich angreifbar und gefährden genauso, teilweise sogar im größeren Maße unsere Privatsphäre. Verboten oder vom Markt genommen wurde aber in den anderen Bereich noch nichts.

  • Beim Absenden von diesem Beitrag gab es Fehlermeldung. Mir war nicht klar, dass er trotzdem im System angekommen ist und hatte einen neuen verfasst. Dieser Doppelpost kann gelöscht werden, Danke, christian