Wahre Worte CT 01-2014

[Fartman]

Gefunden in der C´T Ausgabe 01-2014.

"Grundsätzlich spräche nichts dagegen,wenn NAS-Geräte insgesamt weniger Funktionen böten,
jedoch diese konsequent zu Ende gedacht würden.
Noch viel dringlicher erscheint allerdings,dass NAS-Hersteller endlich Sicherheitsprobleme ernst nehmen
und diese schneller und gründlicher beheben."

 

[Puppetmaster]

Amen und nochmals Amen!

 

[lopo_ch]

Nun ja, das ich etwas differenzierter.
Dreh- und Angelpunkt einer Lan- und Wan-Sicherheit ist immer die Firewall.

Wenn ich kontrollieren will, welche IPs welche Datenpakete von "drinnen" nach "draussen" oder umgekehrt schicken dürfen, muss ich mich als Anwender mit dem Thema beschäftigen.
Ein NAS ist keine Firewall Distribution auch, wenn es auf dem NAS iptables gibt.

Die Verantwortung trägt letztendlich immer der der Endanwender, was er mit dem Gerät macht.
Wenn er die Administration per Port 5000/5001 (und vielleicht dazu passend auch noch ssh) mit einem schwachen Passwort über das böse Internet verfügbar macht, kann dem Hersteller aus meiner Sicht kaum die Schuld für das eventuellen kompromittieren des Geräts in die Schuhe geschoben werden.

Das Fatale beginnt immer, wenn Leichtfertigkeicht und Unwissenheit aufeinander treffen!

Aber: im Neuland hat ja kaum einer etwas zu verstecken.

Gruss
lopo

 

[jahlives]

@lopo_ch

als Enduser hast du aber keinen Einfluss auf Lücken innerhalb der benutzten Software. Da kann auch eine Firewall nicht viel machen wenn es in einem öffentlich erreichbaren Dienst eine Lücke gibt z.B. ein präpariertes HTTP-Paket welches einen Pufferübrlauf im Webserver versursacht. Da ist der Hersteller in der Pflicht.

 

[lopo_ch]

Hi jahlives,

da hast Du natürlich schon recht, deshalb gilt für mich keine NAS ins Internet!
Ich könnte vielleicht noch im Bedarfsfall darüber nachdenken ein Raspberry mit Debian, Redhat o.ä. ins Internet zu stellen, aber:
mit regelmässigem Update.

 

[Puppetmaster]

…deshalb gilt für mich keine NAS ins Internet!

Tja, aber sehr viele Anwender wollen genau das! Und die Funktionen und Apps, die die verschiedenen NAS-Hersteller anbieten zielen auch darauf ab.
Von daher sollten die beiden o.g. Forderungen höchste Priorität haben.

 

[Tommes]

Nun ja, NAS-Systeme sind ja nicht die einzigen Problemfälle, wenn's ums Thema Sicherheit und deren Behebung geht. Da ich mich grade etwas mit dem Thema beschäftigt habe (neues Smartphone mußte her) finde ich die Updateversorgung von Android-Geräten und damit verbunden, das ausmerzen von Sicherheitslücken, auch nicht sonderlich erbauend.

Siehe hierzu Beispielsweise den Artikel der Chip... Fit für die Vier?

Da lobe ich mir doch die Philosophie von Apple.

Aber das nur am Rande. Natürlich sollten sich in meinen Augen alle Hersteller, egal ob von NAS-Systemen, Smartphones oder sonst was für Systeme auch immer, sich das Thema Sicherheit groß auf die Fahnen schreiben.

Tommes