Het tv-programma Avrotros Opgelicht?! besteedt vanavond aandacht aan openstaande netwerkschijven waardoor via internet privégegevens makkelijk zijn buit te maken. Hackers hoeven maar te Googlen op interessante zoekwoorden als ‘paspoort’, ‘wachtwoorden’ of ‘boekhouding’ om zo de buit te vinden. Consumenten, ondernemers en ook gemeenten zijn kwetsbaar. Identiteitsfraude wordt zo een fluitje van een cent, waarschuwt De Telegraaf vandaag.

“Hierin zit álles wat je nodig hebt”, vertelt een hacker in de tv-uitzending van vanavond. Naast consumenten en kleine ondernemers blijken ook grotere organisaties, met ICT-mensen in dienst, gegevens te lekken. Zo heeft de redactie van Opgelicht?! privacygevoelige informatie gevonden die op de externe schijf stond van een grote multinational aan de Amsterdamse Zuidas. Het ging om ingescande paspoorten van werknemers die naar het buitenland werden uitgezonden.

Hardnekkig probleem

Het aangekaarte privacylek is het voor securitykenners bekende en oude probleem van onveilige standaardinstellingen. Veel gewone gebruikers blijken die instellingen niet te wijzigen waardoor hun netwerkschijven open staan voor buitenstaanders. Deze opslagstations hebben diverse handige functies, die echter ook privacylekken kunnen zijn. Naast het stelen van gegevens is er het gevaar van wissen én van malafide uploads door kwaadwillenden. PCM helpt uitzoeken en dichten.

In tegenstelling tot reguliere externe harde schijven met een USB-aansluiting hebben netwerkschijven namelijk veel meer in hun mars. Deze zogeheten NAS-apparaten (network attached storage) zijn via een netwerkkabel of ook via WiFi te gebruiken. Het nu opnieuw onder de aandacht gebrachte grote privacylek betreft dus niet gewone USB-schijven. Het gaat om NAS-systemen zoals die van leveranciers als Synology, QNAP en NetGear.

Gemak versus veiligheid

Netwerkschijven zijn vaak een soort minicomputers maar dan zonder aansluitingen voor toetsenbord of beeldscherm. Bediening moet via een webinterface gebeuren. Daar zijn de instellingen te vinden waarmee gebruikers eigen accounts en wachtwoorden kunnen invoeren. Standaard hebben veel NAS-apparaten diverse netwerkdiensten aan staan. Dit loopt uiteen van het oude ftp-protocol (file transfer protocol) voor bestandsoverdracht tot mini-webservers, muziekdeeldiensten en bestandsdeelprotocol WebDAV.

Het gemakt dient de mens, maar de NAS-gebruiker moet wel controleren welke diensten er standaard aan staan. Belangrijker nog is controleren of die default draaiende diensten standaard open staan naar buiten toe. Hiervoor moeten twee zaken nagelopen worden. Ten eerste of er sprake is van standaard-logins, zoals bijvoorbeeld ‘admin’ als gebruikersnaam en wachtwoord. Voor veel netwerkschijven zijn de inloggegevens van die standaardaccounts gewoon bekend en dus bruikbaar voor kwaadwillenden.

Controleer op default accounts, zoals voor systeembeheer:

© PXimport

Hou het lokaal

De tweede check die een gebruiker van een netwerkschijf moet uitvoeren, is de toegang naar buiten toe. Een NAS is in de regel bedoeld voor intern gebruik; op het lokale netwerk (LAN). Dankzij een gebruiksvriendelijke techniek als UPnP (Universal Plug and Play) kan een apparaat op het LAN zichzelf bij een ADSL- of kabelrouter aanmelden voor toegang naar internet. Hierdoor is een NAS ook van buitenaf te benaderen om het als een ‘eigen cloud’ te kunnen gebruiken. Dit heeft voordelen maar brengt dus ook risico’s met zich mee, zeker als de standaard-accounts nog staan ingesteld.

De exacte wijze van het instellen en uitschakelen van netwerkdiensten en accounts verschilt per NAS. Dit is afhankelijk van de fabrikant, maar ook van het bewuste model en daarop draaiende versie van het NAS-besturingssysteem. Voor gedetailleerde instructies, zie de handleiding bij je eigen netwerkschijf. De verschillende leveranciers, zoals Synology, QNAP en NetGear, bieden die verschillende handleidingen natuurlijk ook online aan.

Inloggen en instellen

Terwijl de webinterfaces van netwerkschijven nogal van elkaar kunnen verschillen, zijn er algemene richtlijnen van toepassing. Open op je computer je webbrowser en vul in de adresbalk het lokale netwerkadres in van je NAS. Vaak is dit een automatisch toegekend adres, dat is uitgedeeld door je internetrouter. Sommige NAS-fabrikanten leveren tools waarmee het lokale netwerk is te scannen op ‘hun’ apparaten om zo onder meer het intern gebruikte IP-adres te achterhalen. Kijk op de site van de leverancier bij downloads voor jouw NAS-model.

Naast het numerieke adres kan een netwerkschijf ook een naam hebben waarmee het bedieningspaneel bereikbaar is voor een webbrowser. Voor bijvoorbeeld Synology zijn dit standaard de modelnamen, zoals ‘DiskStation’ of ‘CubeStation’. Raadpleeg de handleiding voor jouw merk en model. Log vervolgens in op de webinterface en ga naar de instellingen of het controlepaneel om daar de draaiende netwerkdiensten en hun instellingen te controleren.

Wijzigen is wijsheid

Denk goed na of en hoe je je NAS openstelt. Wijzig de standaardnamen voor beheer (admin) en gebruik, maak aparte gebruikersaccounts aan en stel sterke wachtwoorden in. Controleer vervolgens de lees- en schrijfrechten voor de accounts en schakel onnodige diensten uit. Overweeg tot slot om UPnP en internettoegang te blokkeren. Netwerkschijven zijn nuttig, maar gebruik ze wel veilig!

Maak jezelf beheerder (admin) en schakel daarna de default admin-account uit:

© PXimport