server-NAS-hardware

De NAS als bron van security risico’s

Afgelopen maanden is gewezen op security risico’s bij meerdere NAS series van in ieder geval QNAP, Synology en Terramaster. Een NAS aan het internet hangen is en blijft niet vrij van risico’s.

Lokale storage

Een NAS is voor veel huishoudens en kleinere ondernemingen een perfecte oplossing voor het lokale, inpandige, storage vraagstuk. Daarnaast is het een betrouwbare basis om documenten te delen. Voor beiden doeleinden zijn dit soort devices ook ontwikkeld. Het opslaan en delen van data binnen een eigen thuis of kantoornetwerk.

Over de jaren is het aantal toepassingen voor de NAS verder toegenomen. Mede daardoor zijn er ook gebruiksscenario’s waarbij een NAS via het internet verbonden en van buitenaf benaderbaar moet zijn.

Apps

Op dit punt gaan fabrikanten de mist in. Zij bieden de apps om een NAS via het internet te laten communiceren. Daarbij worden een paar fouten gemaakt. De eerste is dat de default settings van de NAS na installatie van dergelijke apps poorten openzet. Dat is natuurlijk de bedoeling van die apps. Maar als de gebruiker daardoor de mogelijkheid mist zelf en daarbij wachtwoorden in te stellen en dergelijke is er sprake van een foute situatie.

De andere gemaakte fout is dat de documentatie op dit punt serieus te kort schiet. Verder zijn er gevallen bekend van patches die eerder verholpen fouten juist weer terugbrengen. Dit alles zorgt er voor dat bij het in gebruik nemen van een NAS echt goed gelet moet worden op het aanwezige apps. In veel gevallen is het ook totaal niet nodig de machine vanaf het internet bereikbaar te laten zijn.

NAS als steppingstone

Het meest vervelende aan de situatie is dat de security risico’s niet bepkert blijven tot de NAS. Voor cybercriminelen is de NAS een welkome steppingstone. Eenmaal binnen gaan ze verder in het netwerk om tot de desktops en laptops door te dringen.