Western Digitals molnlagringstjänst har en inbyggd bakdörr

Permalänk
Melding Plague

Western Digitals molnlagringstjänst har en inbyggd bakdörr

En nyligen släppt säkerhetsrapport avslöjar att Western Digitals molnagringstjänst My Cloud innehåller en hårdkodad bakdörr. Firmware som åtgärdar felet har släppts.

Läs hela artikeln här

Permalänk

Överraskning! Svårt att inte vara cynisk, men självklart kul att det finns dedikerade människor som jagar fatt på bakdörrarna. Problemet är givetvis att skillnaden i förhållandet mantimmar som implementationen kräver jämfört med att hitta och åtgärda hålet är väldigt stor.

Permalänk
Avstängd

WD har väl gott om pengar någon måste väl ha mutat dom för att sätta ditt en bakdörr vi skyller på NSA.

Permalänk
Inaktiv

En sådan här bugg borde bli väldigt uppmärksam, väldigt många vanliga användare köper en sådan och det är inte alla som läser denna artikel. Det känns nästan som att butiker som sålde varan skulle ha upplysningsplikt, lite som de har med farlig elutrustning.

Om nu skämtet:
Det är inget säkerhetshål det är en feature. Säg att ni sitter på jobbet och behöver komma åt arbetsmaterial på er My Cloud, ni har nyss bytt lösenordet på den som ni ej kommer ihåg och då ej kommer in.
Är det då inte skitbra att det enda ni behöver göra är en googlesökning för att se hur ni kan ta er in utan lösenord?

Permalänk
Medlem

Vem köper en WD och sätter den online, det är väl ändå känt att det ligger långt efter när det kommer till fixar. Trillar det nu in backdörrar så försvinner förtroendet helt för deras "NAS" varianter.

Permalänk
Inaktiv
Skrivet av hakd:

Vem köper en WD och sätter den online, det är väl ändå känt att det ligger långt efter när det kommer till fixar. Trillar det nu in backdörrar så försvinner förtroendet helt för deras "NAS" varianter.

Det är rätt så många. Den är billig, den säljs i nästan alla datorbutiker och den marknadsförs som just vara säker att koppla upp emot internet. Visst på företagsnivå så är det nog rätt få, men det marknadsförs emot konsumenter.

Angående nasar så är de väldigt mycket dyrare, en vettig synology går väl på det dubbla. Och en synology är i sin tur inget man heller egentligen ska ha rakt emot internet.

En billig hyfsad säker lösning jag tänker är vpn på ens konsumentrouter, men då har man användarhantering. Tar vi mobiler så finns det gott om vpnklienter, men många användarna skapar då en sådan anslutning som de aldrig stänger ner. Och mobiler stänger folk ej av så ofta vilket innebär att om det saknas timeout etc i vpn klient eller servern kommer de hela tiden tunnla trafiken dit.

Permalänk
Medlem

Note to self: utgångspunkten är att all proprietär mjukvara innehåller bakdörrar tills motsatsen bevisats.

Permalänk
Entusiast

Hade det inte varit bra om källkod var öppen i större utsträckning, så att det ej gick att hålla på så här?

Permalänk
Inaktiv
Skrivet av Striktarn:

Note to self: utgångspunkten är att all proprietär mjukvara innehåller bakdörrar tills motsatsen bevisats.

Öppen vs stängd mjukvara är en klassiker där jag säger det beror på.
Är det en extrem populär open source produkt så blir den bra granskad. Just nätverkslagringsenhet och liknande säger jag open source alla gånger.

Men jag är själv mer inne för att begränsa ingångarna, där jag är av gamla skolan att all ingen hårdvara ska gå att komma åt utan en tunnel som vpn. Sedan kan hårdvaran ha hur bra säkerhet som helst, men ett vpn tunnel ska ändå ligga utanför.
Vill man komma åt värmestyrning, nas, skrivaren, kameror eller whatever, så måste man in på vpn.

Problemet är som sagt användare, jag hade en vpn lösning en gång och folk stängde aldrig av dem, så netflex eller vad de nu kollade på gick genom min dator.. Nu hade det gått att lösa med en vettig vpnserver, det finns såna som spärrar så enbart rätt trafik kommer igenom. Har man på vpn och besöker en skum sida som youtube, ja det är din egen ipadress som visas med en bra vpnserver.

Permalänk
Medlem

Vanligt misstag som händer när man utvecklar mjukvara. Man stavar fel nånstans eller glömmer en parentes, sen vips så går det att logga in på alla konton med "abc12345cba". Absolut inget ondsint uppsåt med detta, ett ärligt misstag bara.
/s

Permalänk
Medlem

"Felet"? Om det är en inbyggd bakdörr så var det väl i högsta grad en medveten handling. De förtjänar den törn som deras förtroende nu kommer få, Kunder måste ju kunna veta att det avtal som de skriver på stämmer.

Och bara för att jag vet att det kommer... Det är inte samma sak med Windows 10. Det står redan i avtalet att de samlar in telemetridata. Om man litar på att de använder det på det sätt de säger är en annan sak. Jag gör det, vissa andra gör det inte, och att diskutera det i den här tråden vore Off Topic.

Nu har jag inte läst WD's avtal iofs, men tvivlar på att där står något om hårdkodade bakdörrar

Permalänk
Medlem

@anon159643: Nu är jag givetvis inte insatt i vad du försökte uppnå, men går ju att konfiguera upp VPN's så den inte tunnlar all data utan enbart ger åtkomst till LAN enheter. Då får man däremot inte fördelarna som VPN tunnling faktiskt ger och som jag skulle säga är nästintill kritiska om man inte redan sitter på ett säkrat nätverk. Du kan däremot säkert få tillgång till din NAS eller vad du nu vill.

Permalänk
Inaktiv
Skrivet av philipborg:

@Johan86c: Nu är jag givetvis inte insatt i vad du försökte uppnå, men går ju att konfiguera upp VPN's så den inte tunnlar all data utan enbart ger åtkomst till LAN enheter. Då får man däremot inte fördelarna som VPN tunnling faktiskt ger och som jag skulle säga är nästintill kritiska om man inte redan sitter på ett säkrat nätverk. Du kan däremot säkert få tillgång till din NAS eller vad du nu vill.

Mitt syfte med vpn är att lägga ett skyddslager ovanpå. Nasen har säkert ett bra skydd, men med vpn utanpå så måste de först knäcka vpnskyddet för att ens börja ge sig på nasen.

Att de flesta VPN servrar skickar vidare trafik emot internet ser jag som en ren usel bieffekt, det är väldigt sällan som man vill använda ett annan persons ipadress till något.

Det finns dock skäl, som att man är i usa och vill se på svt etc, men då kanske man ska ha ett speciellt vpnkonto för detta.
Och sedan finns det såklart även anonymitetstjänster, men dessa vpnservrar har man ofta in själv.

*edit*

En fråga. Skulle du hemma vilja ha så att folk som loggar in på din vpn utåt på internet kommer ha din ipadress? Förutom att all trafik de skapar går genom din uppkoppling?

Permalänk
Medlem

Användarnamnet "mydlinkBRionyg"? Låter som om de jobbade på en mydlink integration eller nåt? som aldrig blev av

Permalänk
Medlem
Skrivet av jocke92:

Användarnamnet "mydlinkBRionyg"? Låter som om de jobbade på en mydlink integration eller nåt? som aldrig blev av

Jag frågar mig snarare om det är Dlink som bygger de där enheterna åt WD.

Permalänk
Medlem
Skrivet av anon159643:

Det är rätt så många. Den är billig, den säljs i nästan alla datorbutiker och den marknadsförs som just vara säker att koppla upp emot internet. Visst på företagsnivå så är det nog rätt få, men det marknadsförs emot konsumenter.

Angående nasar så är de väldigt mycket dyrare, en vettig synology går väl på det dubbla. Och en synology är i sin tur inget man heller egentligen ska ha rakt emot internet.

En billig hyfsad säker lösning jag tänker är vpn på ens konsumentrouter, men då har man användarhantering. Tar vi mobiler så finns det gott om vpnklienter, men många användarna skapar då en sådan anslutning som de aldrig stänger ner. Och mobiler stänger folk ej av så ofta vilket innebär att om det saknas timeout etc i vpn klient eller servern kommer de hela tiden tunnla trafiken dit.

Ca 1200kr mera för en riktig nas som inte WD har full tillgång till (alltså inga backdörrar, avslöjade iaf).
Asustor är ruskigt prisvärda för den som inte vill kosta på sig en Synology.

Dumsnålt att som Svensson konsument köpa WD cloud, Buffalo eller Zyxel när dom stora märkena bara är någon femhundring dyrare. Det är ju lite som att köpa ett Biltema lås till sin Ferrari och sen förvänta sig att det är säkert.

Permalänk
Medlem
Skrivet av evil penguin:

Jag frågar mig snarare om det är Dlink som bygger de där enheterna åt WD.

Verkar ju som att samma bakdörr hittats i Dlinks DNS-320L, så man kan nog anta att det är just så. Är väl liknande enheter med i grunden samma Dlink-firmware.

Permalänk
Medlem

Man skulle nästan kunna bli lite konspitatorisk.

Permalänk
Medlem

Detta är inget att bli upprörd över - sådan förutsätter jag att det sker i dom flesta produkter och oftast är det inte avsiktligt utan man glömmer helt enkelt att städa i koden innan release.

Är det någon som kollat om det är hårt kodat i firmwaren eller om det ligger som en post i passwd eller shaddow (och därmed borttagbar även om det säker kommer tillbaka vid en fabriksåterställning)??

---

Titta istället på svagheterna på på många SED-enheter som tex. WD:s passport-ultra externa diskar där säker AES-kryptering är en av försäljningsargumenten.

Själva verket är det är så många vägar till att avkoda den krypterade datat i dessa att det inte är av misstag - man har flera alternativ för säkerhets skull om någon av den skulle stängas (eller att olika nationer har lagt in sin version av bakdörr) - och ett av dem är att försvaga slumptalsgeneratorn kraftigt i dessa när en ny krypteringsnyckel skall skapas (NSA-specialitet...).

Se vidare i rapporten https://eprint.iacr.org/2015/1002.pdf och förstå varför man skall själv kryptera sina diskar med veracrypt eller luksCrypt/dm-crypt och inte försöka använda någon inbyggd i produkten SED-kryptering. Även om Veracryp eller luksCrypt/dm-cryp skulle visa svagheter någon gång i framtiden så är de i alla fall mer ärliga.

Permalänk
Medlem
Skrivet av anon159643:

Mitt syfte med vpn är att lägga ett skyddslager ovanpå. Nasen har säkert ett bra skydd, men med vpn utanpå så måste de först knäcka vpnskyddet för att ens börja ge sig på nasen.

Att de flesta VPN servrar skickar vidare trafik emot internet ser jag som en ren usel bieffekt, det är väldigt sällan som man vill använda ett annan persons ipadress till något.

Det finns dock skäl, som att man är i usa och vill se på svt etc, men då kanske man ska ha ett speciellt vpnkonto för detta.
Och sedan finns det såklart även anonymitetstjänster, men dessa vpnservrar har man ofta in själv.

*edit*

En fråga. Skulle du hemma vilja ha så att folk som loggar in på din vpn utåt på internet kommer ha din ipadress? Förutom att all trafik de skapar går genom din uppkoppling?

Det verkar som du missförtått mig, för det jag tippsade om var VPN som inte tunnlar, mao datan skickas inte genom ditt nät utan du använder VPN för att säkert ansluta till dina nätverksenheter enbart. Så din IP adress kommer inte användas, du skickar inte heller vidare någonting till internet. Det ger dig bara en krypterad anslutning att kommunicera med dina LAN enheter med. Om du ansluter till en adress som inte finns på det VPN nätets LAN så används inte VPN och det går direkt ut på vanliga nätet, vilket låter som exakt vad du vill ha? T.ex. så lär en ping till din NAS gå genom VPN medans en netflix ström lär inte göra det. Använt det för gamla spel som enbart fungerar på LAN men mitt internet är för skitet för att andra ska tunnla genom det.

Permalänk
Inaktiv
Skrivet av philipborg:

Det verkar som du missförtått mig, för det jag tippsade om var VPN som inte tunnlar, mao datan skickas inte genom ditt nät utan du använder VPN för att säkert ansluta till dina nätverksenheter enbart. Så din IP adress kommer inte användas, du skickar inte heller vidare någonting till internet. Det ger dig bara en krypterad anslutning att kommunicera med dina LAN enheter med. Om du ansluter till en adress som inte finns på det VPN nätets LAN så används inte VPN och det går direkt ut på vanliga nätet, vilket låter som exakt vad du vill ha? T.ex. så lär en ping till din NAS gå genom VPN medans en netflix ström lär inte göra det. Använt det för gamla spel som enbart fungerar på LAN men mitt internet är för skitet för att andra ska tunnla genom det.

Ok då förstår jag, ja det var precis det jag efterfrågar.

Permalänk
Medlem

Är det någon som ens är förvånad över detta?
Ett Amerikanskt molnföretag visar sig ha en bakdörr?
Helt ärligt, jag skulle vara förvånad om så inte var fallet.
Alla deras "three letter organizations" är alla ivriga förespråkare av bakdörrar och säkerhetshål.

En annan sak, det finns inget "moln", bara din dator eller någon annans dator.
Var vill du att din data skall lagras?

Permalänk
Medlem
Skrivet av ThomasLidstrom:

Är det någon som ens är förvånad över detta?
Ett Amerikanskt molnföretag visar sig ha en bakdörr?
Helt ärligt, jag skulle vara förvånad om så inte var fallet.
Alla deras "three letter organizations" är alla ivriga förespråkare av bakdörrar och säkerhetshål.

En annan sak, det finns inget "moln", bara din dator eller någon annans dator.
Var vill du att din data skall lagras?

Vet inte om WD rimligen kan klassas som "molnföretag"?
Dessutom finns det ju indikationer på att det är Dlink som står bakom detta och de är från Taiwan.

Permalänk
Medlem

Hehe jag köpte en MyCloud refurbished direkt från WD och fick en 4TB för väldigt schysst pris.
Det roliga var när jag fick den och kopplade in den fick jag bara en känsla från konfigureringen att detta inte känns säkert med moln hit å dit så stängde av alla dessa moln funktioner och det var väl tur man gjorde det såhär i efterhand... Men den funkar bra och är ävldigt snabb å smidig!

Permalänk
Medlem

snarare är det så att det är ett "test konto" som har följt med över till produktion utan att någon har "upptäckt det"

det är inte ovanligt att testkonton har sjukt simpla användarnamn/lösenord och sen så bara "råkar" någon glömma kommentera bort den raden eller bygger på fel sätt och vips så är testkontot öppet för alla.

skulle det varit en "WD bakdörr" så borde användarnamn & lösenord vara betydligt längre. I alla fall om jag varit inblandad.

FÖ: anser jag att molnlösningar är bara ett annat ord för "Någon annans dator".

MAO fundera på det innan ni börjar använda molntjänster.
Är det ok att spara den datan på någon annans dator som du inte har fysisk kontroll över så spara den.
Är det känslig data fundera en gång till om det är en bra sak att göra.

Permalänk

Var faktiskt inne på att köpa en WD MyCloud 6TB men det blev billigare med 2 st WD Elements 4TB.

Dock som några skriver, så är ju denna och liknande billigare köp för privatpersoner, då den är komplett, jämfört med t.ex. Synology som kostar nästan lika och då ingar inga hårddiskar.

Permalänk
Medlem
Skrivet av hakd:

Vem köper en WD och sätter den online, det är väl ändå känt att det ligger långt efter när det kommer till fixar. Trillar det nu in backdörrar så försvinner förtroendet helt för deras "NAS" varianter.

Billig, funktionell och smidig brukar spöa, presterande, dyr och flersidig

Permalänk
Medlem
Skrivet av cg_thi:

snarare är det så att det är ett "test konto" som har följt med över till produktion utan att någon har "upptäckt det"

det är inte ovanligt att testkonton har sjukt simpla användarnamn/lösenord och sen så bara "råkar" någon glömma kommentera bort den raden eller bygger på fel sätt och vips så är testkontot öppet för alla.

skulle det varit en "WD bakdörr" så borde användarnamn & lösenord vara betydligt längre. I alla fall om jag varit inblandad.

<snip>

Jo, troligen, Bakdörrar är lämpligt att dölja som buggar, ta tex detta försök att bakdörra linux 2003:

if ((options == (__WCLONE|__WALL)) && (current->uid = 0)) retval = -EINVAL;

Som gör att du blir root om du anropar wait på ett "ogiltigt" men harmlöst sätt. Finns artikel om det här:

https://freedom-to-tinker.com/2013/10/09/the-linux-backdoor-a...

Permalänk
Medlem

Det man vinner i tillgänglighet förlorar man ofta i säkerhet.
Riktigt skräpig jargong hos de flesta företag när det kommer till bakdörrar.
Förstärker bara intrycket av att man alltid bör vara paranoid som konsument.
Sedan är det ju bara vårdslöst att tro att produkter som dessa sätter användarens integritet högt på listan.
Ganska slött att det först dök upp en firmware som åtgärdar "problemet" i november när det påtalats mycket tidigare.
Man kan ju tycka att rekommendationen "använd inte din NAS" kunde ha kommit lite tidigare för att indikera på att folk har börjar upptäcka bakdörren. Men återigen, security by obscurity är branschstandard.

Nåja, man får väl vara nöjd att de flyttat fokus på attackyta för denna gången, ansvaret för att röja undan denna bakdörr ligger nu alltså hos användaren som förövrigt är vidöppen för en attack nu när embargot släppt.

Riktigt löjlig hantering måste jag säga...

Permalänk
Medlem
Skrivet av anon159643:

Ok då förstår jag, ja det var precis det jag efterfrågar.

Kan dessvärre inte säga allt för mycket hur man sätter upp det. Vet att min AC68U hade en OpenVPN konfig generator med en sådan konfiguration.