פרצת אבטחה ב NAS של WD

פורום רשתות, IT ומחשוב כללי - רשתות, ראוטרים, מחשבים ניידים, אביזרים וכו'.
Fish72 (פותח השרשור)
סמל אישי של משתמש
חבר מביא חבר
חבר מביא חבר
הודעות: 3027
הצטרף: פברואר 2007
מיקום: ת"א
נתן תודות: 956 פעמים
קיבל תודות: 335 פעמים

פרצת אבטחה ב NAS של WD

נושא שלא נקרא #1 

https://www.theregister.co.uk/2018/09/1 ... l_my_cloud

בגדול הודיעו ל WD על הפרצה שמאפשרת גישה ל NAS בתור ADMIN דרך הרשת הפנימית או דרך האינטרנט באפריל, והם עוד לא הזיזו את עצמם לטפל בעניין. כנראה שהם עסוקים מדי בלקנות חברות....

sys_admin
חבר מביא חבר
חבר מביא חבר
הודעות: 3685
הצטרף: ינואר 2014
מיקום: גליל מערבי
נתן תודות: 9 פעמים
קיבל תודות: 718 פעמים

נושא שלא נקרא #2 

זו בידיוק סיבה אחת מהרבות שממחישה למה אסור בתכלית האיסור להפנות פורטים של שירותים שנמצאים ברשת הביתית לכיוון האינטרנט, אלה רק להשתמש בשרת VPN שנמצא ברשת ביתית ונותן להתחבר לכל השירותים שנמצאים בה בצורה מאובטחת, מוצפנת ומבוקרת לפי ההרשאות הנדרשות. דוגמה נוספת לכך, היא גם כל המצלמות אבטחה ו NVRs , כמו ה hikvision למשל:
https://www.csoonline.com/article/32691 ... ounts.html
או ביתר המצלמות הסיניות הזולות, כמו DAHUA למשל:
https://www.a1securitycameras.com/blog/ ... erability/
שגם בהם מתגלים חדשות לבקרים פרצות אבטחה וכל מי שהיו לו מצלמות כאלה זמינות מהאינטרנט, במקרה הטוב עשו לו איפוס למצלמות ומחקו את החומר המוקלט ובמקרה הגרוע פשוט צפו בכל מה שמתרחש מול המצלמות אלה וגם פרסמו את זה בכל מני מקומות ברשת.
ולא מדובר כאן על זה שהאקר כלשהו צריך לעבור כתובת, כתובת, אלה על זה שהתוכנות האוטומטיות סורקות את כל הטווחים של כתובות ומזהות את השירותים הפגיעים אלה אצל המשתמשים הביתיים ואחרי זה כבר ניגשים אליהם.
בנוסף לזה, מקרה זה ממחיש גם את הסיבה אחת מן הרבות, למה חייבים כדבר הראשון והחשוב לחלק את הרשת הביתית ל VLANs שונים ומבודדים זה מזה, שאחד מהם למשל משמש כ VLAN של אורחים, שממנו לא זמינים כל השירותים שקיימים ברשת הביתית. כך גם ברגע שבאים אורחים עם הציוד נייד שלהם שנגוע בשלל הווירוסים שיודעים לנצל פרצות אלו ולהצפין או למחוק את כל התוכן של NAS, לא יהיה מצב שהמחשבים אלו של האורחים ישפיעו לרעה על רשת ביתית. הדבר זהה גם עם surveillance vlan ועם voice vlan וכו'.

nir11
חבר מביא חבר
חבר מביא חבר
הודעות: 3893
הצטרף: אפריל 2007
נתן תודות: 235 פעמים
קיבל תודות: 313 פעמים

נושא שלא נקרא #3 

רובם ***המוחלט*** של האנשים לא יודעים מה זה VLAN, והם לא יכולים לקנפג טופולוגיה כזו בעצמם. אותו דבר לגבי VPN.
מה שאתה אומר זה ש***כל*** מי שיש לו ראוטר בבית יצטרך לפנות מטכנאי חיצוני כדי שיקנפג את זה עבורו. זה עולה כסף.
שלושה ניחושים למי זה טוב?
ואגב, רובם ***המוחלט*** של הטכנאים שמטפלים בבעיות ביתיו (אוכלוסיה שונה מאנשי IT, לגמרי שונה), לא יודעים מה זה VLAN, ולא יודעים לקנפג VPN.
שוב, למי זה טוב?

mp3lll
סמל אישי של משתמש
חבר במועדון ה-20K
חבר במועדון ה-20K
הודעות: 20656
הצטרף: ספטמבר 2007
נתן תודות: 134 פעמים
קיבל תודות: 1006 פעמים

נושא שלא נקרא #4 

משתמש ממוצע ביתי לא יכול ליצור לעצמו VLAN סתם ככה.
"הציבור מטומטם ולכן הציבור משלם" - אין יותר אקטואלי מזה.

Fish72 (פותח השרשור)
סמל אישי של משתמש
חבר מביא חבר
חבר מביא חבר
הודעות: 3027
הצטרף: פברואר 2007
מיקום: ת"א
נתן תודות: 956 פעמים
קיבל תודות: 335 פעמים

נושא שלא נקרא #5 

@nir11
· ניר, זה נכון מה שאתה כותב, אבל זה לא פותר בעיות ואיומים הקיימים בעולם האינטרנטי. רוב האנשים (כולל עסקים קטנים) משתמשים בפתרונות המסופקים על ידי ספקי התקשורות ולא מעוניינים להכנס להוצאה נוספת. אלו שכן מוכנים להשקיע (בדרך כלל מתוך אילוץ של חברות שהם עובדים עמן) מקסימום רוכשים קו נלן או איזה נתב של CHECKPOINT שמנוהל מרחוק (דרך אגב חלק מהחברות שנאלצו בעבר לספק גישה דרך קו נלן עברו לגישה מרחוק באמצעות קוד אבטחה שהעובד מקבל לטלפון הסלולרי שלו).
לפי מה שאני רואה בשוק המשתמשים הביתיים והעסקים הקטנים - המצב די עגום מבחינת אבטחה וגיבויים. הרבה עסקים גם לא מתייחסים לאזהרותייך עד שקורה להם משהו.
אני לא אומר שצריך פתרונות קיצוניים או מושלמים, אבל חייבת להיות רמת אבטחה מעבר לציוד הפשוט המסופק על ידי חברות התקשורת, והתנהלות גיבויים נכונה. זה המינימום ההכרחי לדעתי.

sys_admin
חבר מביא חבר
חבר מביא חבר
הודעות: 3685
הצטרף: ינואר 2014
מיקום: גליל מערבי
נתן תודות: 9 פעמים
קיבל תודות: 718 פעמים

נושא שלא נקרא #6 

mp3lll כתב:משתמש ממוצע ביתי לא יכול ליצור לעצמו VLAN סתם ככה.
...
·

"משתמש ממוצע ביתי", גם לא יכול לתכנן לעצמו לא את הארון חשמל "סתם ככה" למשל וגם לא לבצע תחשיב של הרכיבים הנדרשים בו, כמו גם לא את הקוטר של כל חוט שנדרש לכל צרכן, לפי ההספק שלו. בדיוק בגלל זה, משתמש ביתי כזה מזמין את איש מקצוע, במקרה של חשמל, את הקבלן שעוסק בתשתיות חשמל ומפעיל את המתכנן ואת המהנדס חשמל שעבדים איתו, שמתכנים ובונים את התוכנית החשמלית הנדרשת והמוגדרת ללקוח ביתי זה והקבלן, הוא זה שמבצע את התוכנית. בדיוק כך גם בתחומים אחרים בחיים. וכמובן, שאם "משתמש ממוצע ביתי" במקום להזמין את איש מקצוע מזמין את שיפוצניק שימשוך סתם חוטים ללא שום תכנון או תוכנית, ההמשך יהיה עגום ביותר. המצב לא שונה גם בתשתיות תקשורת ביתיות וגם בתחום המיחשוב. אם אותו משתמש ביתי ממוצע במקום לפנות לאיש מקצוע בתחום תשתיות תקשורת יבקש מילד של השכנים שעבד כמוקדן ב ISP או יבקש מאחד שלא עבד בחיים בתכנון תשתיות, אבל נדמה לו שהוא יודע, כי שמע כמה מושגים ומה כבר יכול להיות מסובך ברשת ביתית? זורקים כמה חוטים ומחברים אותם למתג לא מנוהל. אז ההמשך במקרה זה יהיה גם ידוע מראש. אולי זה לא תהייה שריפה, זיקוקים ושאר פירוטכניקה, כמו במקרה של חשמל, אבל בטווח הארוך זה יהיה לא פחות גרוע, כי זה לא רק יהיה מצב של "עובד לי לאט ואז נתקע", אלה יכול להיות גם מצב שהנתונים חשובים, כולל פרטים של כרטיסי אשראי למשל שזלגו לרשת מבלי שאותו משתמש ביתי ממוצע מודע לזה או ההקלטות מהמצלמת אבטחה שנמצאים בכל אתר באינטרנט או לדוגמה כל החומר של כל השנים, כולל גם תמונות משפחתיות, מסמכים, חוזים וכו' שנעלמו מבלי לשוב.

nir11
חבר מביא חבר
חבר מביא חבר
הודעות: 3893
הצטרף: אפריל 2007
נתן תודות: 235 פעמים
קיבל תודות: 313 פעמים

נושא שלא נקרא #7 

כמו שאמרתי, מישהו פה בסך הכל מנסה לארגן לעצמו עוד פרנסה.
לכולם ממחק יהיו VLANS בבית, כולם יהיו מחוברים ה VPN, ובכל פעם שמשהו בהגדרות המורכבות (עבור משתמש בייתי) האלה לא יעבוד פתאום - ישלמו כסף למישהו. כמה נוח.
מי לעזאזל צריך מתג מנוהל בבית? מה זה הטירוף הזה?

mp3lll
סמל אישי של משתמש
חבר במועדון ה-20K
חבר במועדון ה-20K
הודעות: 20656
הצטרף: ספטמבר 2007
נתן תודות: 134 פעמים
קיבל תודות: 1006 פעמים

נושא שלא נקרא #8 

sys_admin
מכבד אותך מאוד, אבל אתה פה זורע פרוניה בלי בסיס.
"הציבור מטומטם ולכן הציבור משלם" - אין יותר אקטואלי מזה.

sys_admin
חבר מביא חבר
חבר מביא חבר
הודעות: 3685
הצטרף: ינואר 2014
מיקום: גליל מערבי
נתן תודות: 9 פעמים
קיבל תודות: 718 פעמים

נושא שלא נקרא #9 

@mp3lll
·
נתתי כאן קישורים ישירים לכתבות פשוטות של כמה שורות בנושא שנכתבו בשפה שמתאימה גם למי שלא עוסק בתחום של אבטחת מידע. כתבות בהן מסבירים בידיוק את החומרה של הבעיה ואת ההיקף שלה על דוגמאות פשוטות. גם אני לא מדבר כאן על שום דבר חדש או מסובך, אלה שמסביר בפשטות כללי יסוד של התנהלות, בידיוק ברמה של כללי היגיינה בסיסית של לשטוף ידיים לפני האוכל ולא מעבר לכך. זה שיש מי שלא מודע לכללים אלו או מגלה את סכנת החיידקים רק אחרי שמגיעה לבית חולים עם זיהום חמור, גם זה נושא מוכר, כי כבר נתקלתי מספיק פעמים בכאלה שלא שמרו על כללים פשוטים אלו ברשת הביתית, וגם צחקו בסגנון של "מה אני פנטגטון שאני צריך את כל ההגנות ושאיש מקצוע יתכנן ויפרוס את הרשת שלי בבית", ובסוף גם נתקלתי בזעקות שבר מאותם האנשים, אחרי שכל אחד מהם קיבל תזכורת כואבת למה כמו שהיו שלטים בצה''ל ש"הכללים אלו נכתבו בדם". כאן כמובן שבדרך כלל לא מדובר על דם של ממש, אלה במקרים מסוימים על כסף רב שהלך לטמיון ועל מאות ואלפי שעות עבודה אבודות במקרים שבהם בן אדם מאבד את החומר שעליו עבד כמחקר לתואר למשל במשך חודשים רבים ( וזה לא היו רק שעות עבודה שלו, אלה גם מתקנים חיצוניים שנדרש הייה להפעיל לצורך כך ) או על מסמכים חשובים ותמונות שלא ניתן לשחזר אותן יותר. אפילו לילד שלמד לתואר המהנדס ואיבד את כל הפרוייקט שלו אחרי חצי שנה של עבודה, זה די כואב. ואחרי זה ההורים שלו יכולים לחפש בשבילו רק את יום של אתמול.

nir11
חבר מביא חבר
חבר מביא חבר
הודעות: 3893
הצטרף: אפריל 2007
נתן תודות: 235 פעמים
קיבל תודות: 313 פעמים

נושא שלא נקרא #10 

בדיוק כמו שאמרו לך - אתה זורע פרנויה.
מספיק לגבות לענן ואז גם אם מישהו משמיד לך את כל הדיסקים בבית, המידע החשוב הולך לאיבוד.
די עם הבולשיט וההפחדה האלה.מאות אלפי בתים בישראל לא נוהגים לפני ההמלצות שלך - ונשארים בחיים. לפי כל תאוריות ההפחדה שלך כבר מזמן הייתה צריכה להיות פה מגיפה.

nir11
חבר מביא חבר
חבר מביא חבר
הודעות: 3893
הצטרף: אפריל 2007
נתן תודות: 235 פעמים
קיבל תודות: 313 פעמים

נושא שלא נקרא #11 

למחוק

mp3lll
סמל אישי של משתמש
חבר במועדון ה-20K
חבר במועדון ה-20K
הודעות: 20656
הצטרף: ספטמבר 2007
נתן תודות: 134 פעמים
קיבל תודות: 1006 פעמים

נושא שלא נקרא #12 

אפשר לעבוד לפי הכללים הפשוטים של אבטחת מידע.
1.דברים חשובים מגבים, דיסק און קי, ענן, מייל, גוגל דרייב וכו.
2.סיסמא טובה.
3. לא להשתמש באתרים מפוקפקים ומשתמשים בגלישה סטנדרטית בלבד.
4. אם יש מצלמות בתוך הבית, לשלב אוטומציה לכיבוי פיזי שאתה בבית, מצלמות בחוץ סיסמא טובה, מה כבר יראו את הגינה? בכיף.

כל זה מספיק ואין צורך ב VLAN או VPN.
"הציבור מטומטם ולכן הציבור משלם" - אין יותר אקטואלי מזה.

sys_admin
חבר מביא חבר
חבר מביא חבר
הודעות: 3685
הצטרף: ינואר 2014
מיקום: גליל מערבי
נתן תודות: 9 פעמים
קיבל תודות: 718 פעמים

נושא שלא נקרא #13 

@mp3lll
·
ואני כבר לתומי חשבתי, שמכל מה שהוסבר כאן זה ברור שכל הנושא זה של החולשות המובנות כפי שהוא תואר נותן אפשרות להבין שממש לא משנה כמה סיסמה טובה אתה תגדיר, כי הכלי לניצול החולשה בכלל לא צריך להתמודד עם הסיסמה, אלה עוקף אותה ומקבל את ההרשאות של מנהל המערכת. אנסה, אם כך להביא ציטוט רלוונטי מהקישור שהפותח השירשור נתן לנו, לטובת אלה שלא צולחים את כל הטקסט שמתחיל את הדיון:
Thus if properly constructed, the request would establish an admin login session to the device without ever asking for a password

בקשר לכיבוי המצלמות. אחד המשימות של המצלמות אבטחה, היא בזה, שאם יש פורץ בזמן שהבעלים בבית, ניתן להוכיח במקרה הצורך בעזרת התאוד מצולם זה, למשל שהייה צורך בהגנה עצמית או כל דבר אחר, אם נדרש. כמובן שאף אחד בן אדם שפוי אפילו לא יחשוב לחבל למצלמותיו הוא ולכבות אותן בשלב שהוא נמצא בבית.

גם חשבתי שזה די מובן שכל הרעיון זה של האורחים הוא בזה שאתה לא יכול לדעת להיכן בידיוק הם גלשו עם ההתקן הנייד שלהם, לפני שהם חיברו אותו לרשת הביתית שלך שנדרש להגן עלייה.

בקיצור ולעניין, משובר כאן על דברים הכי טריוויאליים ומוכרים ואפשרות היחידה שמשתמשים בה לצורך הגישה מרחוק להתקני רשת ביתית, היא דרך התחברות לשרת VPN וההגנה פנימית של הרשת זו, היא על ידי חלוקה של רשת זו לרתשות VLAN , כפי שכבר הסברתי מקודם.

eran405
אחראי תחום רשתות
אחראי תחום רשתות
הודעות: 3388
הצטרף: פברואר 2012
נתן תודות: 380 פעמים
קיבל תודות: 790 פעמים

נושא שלא נקרא #14 

mp3lll כתב:מה כבר יראו את הגינה? בכיף.
...
·

בנוסף לכל מה שכבר נאמר (לדוגמא בפוסט מעלי של sys_admin), חשוב להדגיש שהנתב או הפיירוול הוא רכיב קריטי בהגנה על שלל המכשירים שברשת הביתית ופריצה של מכשיר אחד מסוים יכולה לשבור את ההגנה הזאת לגמרי (כמובן שימוש נכון ב-VLANs מגן בדיוק נגד מקרה כזה). אנסה להסביר את כוונתי:

דווקא אם סתם ניחשו את הסיסמא 1234 שבחרת למצלמה אז בתקווה יהיה להם גישה רק לממשק של המצלמה ולראות את הגינה או האם יש מישהו בבית וכו'.

אבל כאן אנחנו מדברים על חולשות שבגלל מימוש לקוי נגיד בגירסא מסוימת של התוכנה/קושחה של המצלמה התוקף יכול לקבל הרשאות admin על המצלמה. אני מודה שאני לא כזה מכיר את ארכיטקטורת התוכנה במצלמות כאלה אבל סביר להניח שמתחת לממשקים כאלה ואחרים יש מערכת unixית מנוונת מסוג כלשהו ושבעזרת הרשאות מספקות (לא בטוח שאפילו צריך root) אפשר להשתמש במצלמה הפרוצה בשביל לגשש ותקוף מכשירים אחרים ברשת מתוך הרשת פנימית. גם אם זה לא נכון למצלמה מסוג מסוים זה בטוח נכון למוצרים כגון NAS (נגיד ה-NAS של WD שבפוסט הראשי של שירשור זה).

הדגש פה הוא שברגע שהתוקף "משתלט" על מכשיר מסוים הוא יכול להגיע ישירות לכל שאר הרשת דרך המכשיר הזה תוך שהוא עוקף את הנתב/פיירוול ואת ההגנות שלהם. במקרה שהמכשיר הפרוץ נמצא על VLAN אז אפשר כמובן להגיע רק למכשירים באותו ה-VLAN או מכשירים שיש גישה אליהם מה-VLAN הזה. לדוגמא אם כל המצלמות ב-VLAN משלהם ושאין גישה מה-VLAN של המצלמות ל-VLAN של המחשבים האישיים אז המצב הרבה יותר טוב (אפשר ומומלץ לאפשר גישה הפוכה מה-VLAN של המחשבים האישיים ל-VLAN של המצלמות וכו').

לסיכום, אפשר בהחלט להתעלם מכל הנושא של האבטחה ו-VLANs וחיבורי VPN ופשוט לפתוח פורטים למכשירים זולים שרמת האבטחה שלהם מוטלת בספק. רק שההשלכות יהיו ברורות: זה לא מקסימום יראו לי את הגינה, זה מקסימום דרך המצלמה יפרצו לי למחשב, יגנבו/ימחקו וכו' את כל המידע או יאזינו למידע רגיש כשאני גולש ברשת וכו' (כפתרון שהוא לא פתרון מומלץ במקרה כזה להשאיר את הפיירוול במחשבים האישיים דולק גם בתוך הרשת הבייתית). במקרה של בית חכם הדבר הרבה יותר בעייתי ראו mr robot וכו'.

nir11
חבר מביא חבר
חבר מביא חבר
הודעות: 3893
הצטרף: אפריל 2007
נתן תודות: 235 פעמים
קיבל תודות: 313 פעמים

נושא שלא נקרא #15 

@eran405
אתה צודק. אין צורך להסביר לנו את תפיסת ה VLANS, אנחנו מכירים אותה. זה נלקח בחשבון.
שים לב, כדי לממש VLANS לא מספיק להשתמש בסוויץ מנוהל, צריך רכיב שינתב בין ה VLANS שאנחנו כן רוצים חיבור ביניהם. מעולם לא ניסיתי את זה בבית, זה אומר שגם הראוטר צריך להכיר את ה VLANS האלה, וזה אומר שמישהו יצטרך להכניס לו כללי ניתוב נכונים. זה פשוו מסובך מדי. אך אחד חוץ ממקצוען IT לא יכול לנהל את זה. הטכנאי שמחליף לנו בבית ספק כח - לא יידע לעשות את זה.
הדרישה הזו פשוט לא סבירה. אז כן - פותחים פורטים ומבינים את ההשלכות. אני גם שותף לההערכה שלך שרוב ה IOT מרצים גרסה כזאת או אחרת של לינוקס ( הרבה פעמים זה משהו שנקרא busy box). אם השתלטת על מכשיר כזה, אתה יכול לעשות משם הכל.
·

שלח תגובה

חזור אל “רשתות, אינטרנט ו- Fiber”