Artikel top billede

Denne populære router gør dine filer frit tilgængelige for alle

En router med usb-port og tilslutning af en harddisk, så dine filer kan hentes via nettet, er smart, men den er langt fra sikker. Her er problemerne og løsningen.

Mange bredbånds-routere har en usb-port, der gør det muligt at koble en ekstern harddisk på og derved giver den NAS-funktionalitet.

En praktisk og smart løsning til at bygge et fælles lagercenter i hjemmet, så alle husstandens beboere nemt kan få adgang til indholdet.

Ofte kan man også tilgå informationerne på harddisken via nettet, eksempelvis via en web-grænseflade eller via ftp.

Men man skal holde tungen lige i munden, når man tager sådanne tjenester i brug. Mange ender nemlig med en løsning, der er piv-åben for alle og enhver.

Dårlig brugergrænseflade

I de sidste par år er routere fra Asus blevet meget populære, specielt modeller som RT-N66U, RT-AC66U, RT-N65U, RT-N56U og flere andre i RT-serien.

Faktisk har vi her på Computerworld testet en af modellerne og givet den meget rosende ord med på vejen.

Den store popularitet, som Asus' routere nyder, er da heller ikke ubegrundet.

Produkterne har været markedsledende i rækkevidde, ydelse i kombination med mange gode funktioner, herunder en indbygget usb-port, der giver mulighed for at koble en harddisk til routeren.

Ligeledes er der mulighed for ftp-tjenester og en tjeneste knyttet til Asus' AiCloud-løsning. Sidste år blev der fundet en fejl knyttet til AiCloud-tjenesten på flere Asus-modeller. Den blev dog hurtigt rettet gennem en firmware-opdatering.

Men ftp-problemerne er der stadig.

Det beskriver Clas Mehus, der er Computerworld-journalist i Norge.

Sikkerhedsproblemerne, der er knyttet til ftp-mulighederne i Asus' routere, er som udgangspunkt ikke en fejl, men et resultat af brugergrænsefladen.

Er man ikke opmærksom på softwarens opsætning, kan man nemlig aktivere en ftp-tjeneste, hvor der ikke skal bruges brugernavn og password - med andre ord et anonymt login, som er helt åbent.

Instruktionerne i opsætningsvejledningen kan nemt misforstås, og standardforslaget er en åben konfiguration, lyder det fra Clas Mehus.

Benytter du vejledningen til opsætning af ftp-serveren er standardvalget "Limitless access", hvilket giver alle adgang. Der bliver godt nok oprettet en bruger, der hedder "Family" og "Family "bliver også foreslået som password - i stedet for at tvinge brugeren til at finde sit eget. De to andre muligheder giver mere begrænset adgang. Kilde: Computerworld Norge.

Opretter man ftp-tjenesten uden at benytte vejledningsfunktionen, vil den som udgangspunkt være åben for alle. Det burde nok være omvendt. Kilde: Computerworld Norge

Der gives ingen advarsel eller information om, at en anonym ftp-tjeneste er mulig. Hvis Asus havde gjort dette tydeligt eller krævet, at brugeren oprettede en konto med brugernavn og password, havde problemet været langt mindre.

Gennem tjenesten ShodanHQ har den norske journalist fundet hundredevis af åbne Asus-routere i Norden, herunder naturligvis også i Danmark.

Computerworld i Danmark har selv besøgt en af de åbne NAS-opsætninger, der er lokaliseret på Fyn.

Her var der direkte adgang til koncertbilletter, arbejdskontrakter, billeder og alt muligt andet privat indhold.

Brugervenlighed fremfor sikkerhed

Med tanke på, at dette indhold er helt privat, er der ingen tvivl om, at familien ikke har til hensigt at dele disse data.

Mange er måske slet ikke klar over, at ftp-funktionen er slået til. Andre har måske prøvet indstillingen og glemt at slå den fra.

Men resultatet er det samme. Private dokumenter og indhold ligger frit tilgængeligt på nettet.

Der er direkte adgang til denne harddisk på Fyn, der er tilsluttet nettet gennem en Asus-router.

Sikkerhedsekspert Peter Kruse nikker genkendende til de sikkerhedsproblemer, der kan opstå i forbindelse med routeren.

"Vi oplever rigtig mange lækager, der stammer fra NAS-systemer, der ikke er konfigureret korrekt. Fabriksindstillingerne er meget ofte usikre. Når man opsætter både routere og NAS-servere, så er det rigtig vigtigt, at man forholder sig til sikkerheden."

Og han konkretiserer med et rigtigt uheldigt tilfælde:

"Vi har haft en sag med en lægepraksis, der havde opsat systemet forkert, hvilket betød, at Google crawlede informationerne og gjorde dem søgbare på nettet. Personfølsomme data blev simpelthen indekseret af Google."

Han peger på, at producenterne også har en del af ansvaret.

"Producenterne forsøger at gøre systemerne så brugervenlige som muligt, hvilket betyder, at sikkerheden ofte er slået fra. Det er ændret i operativsystemer, men eksisterer i meget høj grad stadig blandt producenter af hardware, eksempelvis routere," vurderer han.

Tag selv kontrollen over din router

Hvis du ikke anvender ftp-adgang til harddisken på din router, skal funktionen deaktiveres.

Er det en funktion, du gerne vil anvende, så gennemgå indstillingerne og opret brugere med gode password.

Det er heller ikke muligt at anvende krypteret ftp på NAS-løsningerne.

Det betyder, at brugernavn og password sendes via nettet i klartekst, hvilket også er en sikkerhedsrisiko, dog af mindre omfang.

Hvis du vil anvende https, altså en krypteret forbindelse, sammen med din Asus-router, skal du benytte dig af AiCloud-tjenesten, der understøtter kryptering.

Asus' cloud-tjeneste har også en stribe andre sikkerhedsfunktioner som eksempelvis Password Protection Feature, der låser tjenesten, hvis man forsøger at logge på med det forkerte password mange gange.

Ikke kun Asus

Det er dog ikke kun Asus' routere, der er berørt af problemet.

Der er også andre producenter, der har NAS-tjenester på menuen, eksempelvis Netgear.

Men Asus er uden sammenligning den mest populære producent blandt forbrugerne, og derfor er problemet størst her, også selv om det ikke er et teknisk problem, men bunder i misforståelser i brugerfladen.

Læs også:
Test: Synology 1813+ er en toplækker NAS

Test: Suveræn router sætter svimlende fart på dit netværk




Brancheguiden
Brancheguide logo
Opdateres dagligt:
Den største og
mest komplette
oversigt
over danske
it-virksomheder
Hvad kan de? Hvor store er de? Hvor bor de?
KEYBALANCE A/S
Udvikling og salg af økonomisystemer samt CRM og MPS. Systemer til blandt andet maskinhandlere, vvs-branchen, vognmænd, låsesmede,handelsvirksomheder

Nøgletal og mere info om virksomheden
Skal din virksomhed med i Guiden? Klik her

Kommende events
PCI og cloud-sikkerhed: Strategi til beskyttelse af betalingsdata

Er din organisation klar til de nye PCI DSS 4.0-krav? Deltag i vores event og få indsigt i, hvordan du navigerer i compliance-udfordringerne i en cloud-drevet verden.

16. januar 2025 | Læs mere


Strategisk It-sikkerhedsdag 2025, Aarhus: Viden om trusler og tendenser – Beskyt din virksomhed

Gå ikke glip af årets vigtigste begivenhed for it-sikkerhedsprofessionelle! Mød Danmarks førende eksperter, deltag i inspirerende diskussioner og få praktisk erfaring med de nyeste teknologier. Bliv klogere på de seneste trusler og lær, hvordan du bedst beskytter din virksomhed mod cyberangreb. Tilmeld dig nu og vær på forkant med fremtidens cybersikkerhedsudfordringer.

21. januar 2025 | Læs mere


Strategisk It-sikkerhedsdag 2025, København: Viden om trusler og tendenser – Beskyt din virksomhed

Gå ikke glip af årets vigtigste begivenhed for it-sikkerhedsprofessionelle! Mød Danmarks førende eksperter, deltag i inspirerende diskussioner og få praktisk erfaring med de nyeste teknologier. Bliv klogere på de seneste trusler og lær, hvordan du bedst beskytter din virksomhed mod cyberangreb. Tilmeld dig nu og vær på forkant med fremtidens cybersikkerhedsudfordringer.

23. januar 2025 | Læs mere