Western Digitals molnlagringstjänst har en inbyggd bakdörr

Vem köper en WD och sätter den online, det är väl ändå känt att det ligger långt efter när det kommer till fixar. Trillar det nu in backdörrar så försvinner förtroendet helt för deras "NAS" varianter.

"Felet"? Om det är en inbyggd bakdörr så var det väl i högsta grad en medveten handling. De förtjänar den törn som deras förtroende nu kommer få, Kunder måste ju kunna veta att det avtal som de skriver på stämmer.

Och bara för att jag vet att det kommer... Det är inte samma sak med Windows 10. Det står redan i avtalet att de samlar in telemetridata. Om man litar på att de använder det på det sätt de säger är en annan sak. Jag gör det, vissa andra gör det inte, och att diskutera det i den här tråden vore Off Topic.

Nu har jag inte läst WD's avtal iofs, men tvivlar på att där står något om hårdkodade bakdörrar

@anon159643: Nu är jag givetvis inte insatt i vad du försökte uppnå, men går ju att konfiguera upp VPN's så den inte tunnlar all data utan enbart ger åtkomst till LAN enheter. Då får man däremot inte fördelarna som VPN tunnling faktiskt ger och som jag skulle säga är nästintill kritiska om man inte redan sitter på ett säkrat nätverk. Du kan däremot säkert få tillgång till din NAS eller vad du nu vill.

Jag frågar mig snarare om det är Dlink som bygger de där enheterna åt WD.

Ca 1200kr mera för en riktig nas som inte WD har full tillgång till (alltså inga backdörrar, avslöjade iaf).
Asustor är ruskigt prisvärda för den som inte vill kosta på sig en Synology.

Dumsnålt att som Svensson konsument köpa WD cloud, Buffalo eller Zyxel när dom stora märkena bara är någon femhundring dyrare. Det är ju lite som att köpa ett Biltema lås till sin Ferrari och sen förvänta sig att det är säkert.

Verkar ju som att samma bakdörr hittats i Dlinks DNS-320L, så man kan nog anta att det är just så. Är väl liknande enheter med i grunden samma Dlink-firmware.

Detta är inget att bli upprörd över - sådan förutsätter jag att det sker i dom flesta produkter och oftast är det inte avsiktligt utan man glömmer helt enkelt att städa i koden innan release.

Är det någon som kollat om det är hårt kodat i firmwaren eller om det ligger som en post i passwd eller shaddow (och därmed borttagbar även om det säker kommer tillbaka vid en fabriksåterställning)??

---

Titta istället på svagheterna på på många SED-enheter som tex. WD:s passport-ultra externa diskar där säker AES-kryptering är en av försäljningsargumenten.

Själva verket är det är så många vägar till att avkoda den krypterade datat i dessa att det inte är av misstag - man har flera alternativ för säkerhets skull om någon av den skulle stängas (eller att olika nationer har lagt in sin version av bakdörr) - och ett av dem är att försvaga slumptalsgeneratorn kraftigt i dessa när en ny krypteringsnyckel skall skapas (NSA-specialitet...).

Se vidare i rapporten https://eprint.iacr.org/2015/1002.pdf och förstå varför man skall själv kryptera sina diskar med veracrypt eller luksCrypt/dm-crypt och inte försöka använda någon inbyggd i produkten SED-kryptering. Även om Veracryp eller luksCrypt/dm-cryp skulle visa svagheter någon gång i framtiden så är de i alla fall mer ärliga.

Det verkar som du missförtått mig, för det jag tippsade om var VPN som inte tunnlar, mao datan skickas inte genom ditt nät utan du använder VPN för att säkert ansluta till dina nätverksenheter enbart. Så din IP adress kommer inte användas, du skickar inte heller vidare någonting till internet. Det ger dig bara en krypterad anslutning att kommunicera med dina LAN enheter med. Om du ansluter till en adress som inte finns på det VPN nätets LAN så används inte VPN och det går direkt ut på vanliga nätet, vilket låter som exakt vad du vill ha? T.ex. så lär en ping till din NAS gå genom VPN medans en netflix ström lär inte göra det. Använt det för gamla spel som enbart fungerar på LAN men mitt internet är för skitet för att andra ska tunnla genom det.

Är det någon som ens är förvånad över detta?
Ett Amerikanskt molnföretag visar sig ha en bakdörr?
Helt ärligt, jag skulle vara förvånad om så inte var fallet.
Alla deras "three letter organizations" är alla ivriga förespråkare av bakdörrar och säkerhetshål.

En annan sak, det finns inget "moln", bara din dator eller någon annans dator.
Var vill du att din data skall lagras?

Vet inte om WD rimligen kan klassas som "molnföretag"?
Dessutom finns det ju indikationer på att det är Dlink som står bakom detta och de är från Taiwan.

Hehe jag köpte en MyCloud refurbished direkt från WD och fick en 4TB för väldigt schysst pris.
Det roliga var när jag fick den och kopplade in den fick jag bara en känsla från konfigureringen att detta inte känns säkert med moln hit å dit så stängde av alla dessa moln funktioner och det var väl tur man gjorde det såhär i efterhand... Men den funkar bra och är ävldigt snabb å smidig!

Jo, troligen, Bakdörrar är lämpligt att dölja som buggar, ta tex detta försök att bakdörra linux 2003:

if ((options == (__WCLONE|__WALL)) && (current->uid = 0))
        retval = -EINVAL;

Som gör att du blir root om du anropar wait på ett "ogiltigt" men harmlöst sätt. Finns artikel om det här:

https://freedom-to-tinker.com/2013/10/09/the-linux-backdoor-a...

Det man vinner i tillgänglighet förlorar man ofta i säkerhet.
Riktigt skräpig jargong hos de flesta företag när det kommer till bakdörrar.
Förstärker bara intrycket av att man alltid bör vara paranoid som konsument.
Sedan är det ju bara vårdslöst att tro att produkter som dessa sätter användarens integritet högt på listan.
Ganska slött att det först dök upp en firmware som åtgärdar "problemet" i november när det påtalats mycket tidigare.
Man kan ju tycka att rekommendationen "använd inte din NAS" kunde ha kommit lite tidigare för att indikera på att folk har börjar upptäcka bakdörren. Men återigen, security by obscurity är branschstandard.

Nåja, man får väl vara nöjd att de flyttat fokus på attackyta för denna gången, ansvaret för att röja undan denna bakdörr ligger nu alltså hos användaren som förövrigt är vidöppen för en attack nu när embargot släppt.

Riktigt löjlig hantering måste jag säga...

Kan dessvärre inte säga allt för mycket hur man sätter upp det. Vet att min AC68U hade en OpenVPN konfig generator med en sådan konfiguration.