網絡儲存裝置 (NAS) 的保安問題
繼上兩編分析了互聯網設備的保安問題,現續探討另一個十分流行的互聯網設備-網絡儲存裝置 (NAS)。隨著現今科技發展,很多用戶都會在家中安裝 NAS 設備,方便家中的成員存取或分享電子檔案,而企業因工作上的需要,所以在更早期已經使用 NAS 設備來分享儲存的檔案。
通常一般的 NAS 設備都會安裝在內聯網上,但由於現今的流動設備普及、互聯網和流動網絡速度越來越高,用戶希望能夠在任何地方都可以存取家中 NAS 內的檔案,因此有部分用戶直接將家中的 NAS 設備連接到互聯網上,但是忽略了其潛在的風險。我們中心利用 Shodan 搜查相關的資料,進一步分析香港網絡上使用 NAS 設備的情況。
我們在 8月 28日選擇了 7 個較流行的小型 NAS 品牌來進行分析,發現了 17,459 個 NAS 設備可以透過互聯網連接。
小型NAS品牌 | 數量 |
Synology | 12,617 |
QNAP | 4,740 |
Iomega | 49 |
WD MyCloud | 47 |
Asustor | 4 |
Thecus | 2 |
AKiTiO | 0 |
總數: | 17,459 |
新一代的小型 NAS 設備功能越來越多,除了提供檔案分享服務,還有以下服務:
- 檔案傳輸服務(FTP)
- 互聯網小型電腦系統介面(iSCSI)
- 網絡文件系統(NFS)
- 檔案分享服務〈Samba)
- 雲端備份
- NAS資料同步
我們就以上較為常用的 FTP 及 Samba 服務進行分析,搜尋一下有多少設備向互聯網開放,結果如下:
小型NAS品牌 | FTP 服務 | Samba 服務 |
QNAP | 145 | 66 |
Synology | 137 | 32 |
WD MyCloud | 0 | 15 |
Iomega | 0 | 4 |
AKiTiO | 0 | 0 |
Asustor | 0 | 0 |
Thecus | 0 | 0 |
總數: | 282 | 117 |
分析結果顯示,向互聯網開放了 FTP 服務的設備不多於 3 個百分點,而 Samba 服務也不多於 2 個百分點。雖然數量不是太多,但直接將 FTP 和 Samba 服務向互聯網開放所產生的風險,絕對不容忽視,因為大部分裝置只會提供簡單的登入認證。
所有NAS設備都提供了網頁管理介面(Web Admin Interface),有些設備會使用獨特的通訊埠作接入點,如 Synology 預設的管理介面通訊埠是 TCP-5000,而 QNAP 使用 TCP-8080,而我們發現大部分設備都可透過預設的管理介面通訊埠來驗證出它們的品牌,數量如下。
預計的管理介面 | Synology | QNAP |
能夠經互聯網存取 | 12,224 | 4,690 |
不能經互聯網存取 | 393 | 50 |
其實將 NAS 的管理介面或 FTP 和 Samba 服務向互聯網開放是十分危險的。因為這些管理介面只需要提供登入名稱及密碼便能進入,攻擊者可以利用暴力破解的方法破解密碼進入系統。若攻擊者得到管理員帳號,他便能夠更改 NAS 上的所有設定及安裝任何惡意程式。因此有些 NAS 系統支援密碼錯誤次數防護,有效減低被暴力破解方法破解密碼的機會。
雖然 NAS 設備提供了不同的保安設施給用戶選用,但若設備發現保安漏洞,攻擊者就可以直接繞過密碼防護進入系統,並得到管理者的身份。當中最大殺傷力的是在 2014年 8月出現的勒索軟件 SynoLocker,它是一個專門針對 NAS 的惡意軟件,可以直接感染 NAS 設備,並將設備上的檔案加密勒索。用戶需要向攻擊者支付指定金額才能得到解密密鑰,否則解密密鑰將被刪除。
如想了解更多 SynoLocker 病毒警告,可瀏覽 ‘SynoLocker 勒索軟件影響 Synology DiskStation’。
給公眾的建議:
互聯網設備的安全經常被忽略,大部份用戶在完成第一次的設定後再沒有持續地管理自己家中互聯網設備,日子久了問題就會出現。特別是現在的小型 NAS,它提供的功能就如一部小型的伺服器,包括託管網站,虛擬私人網路及電郵服務等等。生產商會提供附加功能給用戶自行選擇安裝,用戶需要時刻留意相關功能會否存在保安問題,不要貪一時方便,忽略了當中所帶來的風險。
協調中心建議大家留意以下幾點:
- 如非必要,請不要將設備向互聯網開放存取。
- 如有需要,請使用虛擬私人網路連線後才存取。
- 請修改預設的網頁管理介面通訊埠。
- 請修改預設的管理員密碼或重新建立一個新的管理員帳戶
- 如非必要,請不要安裝或開啓不必要的附加功能。
- 定期進行檔案備份。
- 請保持設備的系統更新,及留意所用產品的相關保安警告。
分享至