NAS-apparaten veilig gebruiken
Een van onze lezers had een erg vervelende ervaring: op zijn NAS stond in plaats van al zijn bestanden slechts alleen een ransomware-bericht. Het bleek dat de NAS zijn eigen graf gegraven had. We laten zie hoe dat kon gebeuren – en hoe je voorkomt dat het jou overkomt.
Toen een van onze lezers door zijn vakantiefoto’s wilde bladeren, kreeg hij een onaangename verrassing: alle bestanden op zijn anders zo betrouwbare NAS waren gewist. In plaats daarvan ontdekte hij een bestand genaamd “DATA RECOVERY !!!! .txt” dat begon met “YOUR REMOTE STORAGE WAS COMPROMISED. YOUR FILES ARE IN OUR POSSESSION.” Hij was blijkbaar het slachtoffer geworden van een cyberbende die zijn vakantiefoto’s had weten te vinden.
De daders beweerden dat de bestanden veilig waren, maar dat ze versleuteld op een server stonden. Om de vakantiefoto’s uit de digitale gijzeling te bevrijden, moest het slachtoffer 0,03 bitcoin overmaken naar het adres 18bvWVxx3KD3gaqkBoPSwShimUWkG1eZNL. Dat kwam op dat moment overeen met ongeveer 400 euro. Maar er waren twee problemen. Ten eerste was de deadline van de afpersers, die zichzelf ironisch genoeg “Data Recovery” noemden, allang verstreken, maar het slachtoffer had de benarde situatie pas na twee maanden ontdekt. En ten tweede is het altijd een slecht idee om te onderhandelen met afpersers.
Hij zocht samen met zijn vrouw naar een manier om de vakantiefoto’s te redden. Ze hadden een idee, dat ze kort daarna in praktijk brachten: ze twee namen contact op met ons. Wij worden vaker geraadpleegd door slachtoffers van cyberchantage, maar deze zaak maakte ons erg nieuwsgierig. Het was namelijk een raadsel hoe de daders toegang kregen tot de NAS. Het werd al snel duidelijk dat de lezer zijn thuisnetwerk zorgvuldig had opgezet en geconfigureerd.
Meestal lukken dergelijke aanvallen omdat een NAS onvoldoende is beveiligd en van buitenaf toegankelijk is gemaakt via port-forwarding in de router. Maar dat was blijkbaar niet het geval. De netwerkopslag met de vakantiefoto’s werd alleen vanuit huis benaderd en er was ook geen port-forwarding ingesteld. Theoretisch zou de aanval ook van een geïnfecteerde computer in het lokale netwerk afkomstig kunnen zijn, maar die theorie leek
ook onwaarschijnlijk omdat alle computers gescand waren op virussen – zonder resultaten, alles was schoon.
Desalniettemin was het de cybercriminelen duidelijk gelukt om toegang te krijgen tot de NAS en de vakantiefoto’s te verwijderen. De gebruikte router was vlak ervoor wel terug vervangen door de standaardrouter van de provider, maar die was geheel up-to-date. We vroegen om ons meer informatie te mailen en gaven de tip om de twee NAS-schijven in een computer te installeren en ze daar te onderzoeken met datarecovery-tool PhotoRec – in de hoop dat de vakantiefoto’s alsnog konden worden hersteld.
CHANTAGE MET FOTO’S
Onze lezer stuurde ons onder andere de chantagebrief die hij op zijn NAS had ontdekt. Google gaf interessante details over het bitcoinadres dat daarin staat: zijn NAS is blijkbaar het slachtoffer geworden van een grote golf van aanvallen op bepaalde NAS-modellen van de fabrikant LenovoEMC (voorheen Iomega). Hij heeft daadwerkelijk zo’n NAS in gebruik, namelijk een Iomega StorCenter ix2-200. Via blockchain.com ontdekten we dat het bitcoinadres van de daders een goede 0,13 BTC had gekregen, het equivalent van meer dan 1700 euro. Verder onderzoek wees uit dat de aanvallers waarschijnlijk een veiligheidslek in de Iomega-firmware hebben uitgebuit. Via een onbeveiligde API is het mogelijk om zonder authenticatie toegang te krijgen tot het bestandssysteem van de NAS (CVE-2019-6160). In augustus 2019 waarschuwde Lenovo op zijn website voor dit acute veiligheidsprobleem en verstrekt een firmwareupdate. Dat was blijkbaar aan de aandacht van onze lezer ontsnapt. Het bleek dat de firmware die hij gebruikte ouder was.
Maar de zaak was nog lang niet opgelost, want zelfs een onbeschermde API is niet toegankelijk voor aanvallers vanaf internet – er was immers geen port-forwarding in de router ingesteld. Het laatste deel van de puzzel is door onze lezer zelf opgelost: hij ontdekte dat er toch een forwarding naar de NAS was opgezet in de router. Maar wie had dat gedaan als hij dat zelf niet was? De dader was de kwetsbare Iomega-NAS zelf: goed verborgen staat in de handleiding de volgende opmerking: “ensure that your router is UPnP enabled ... Your Iomega StorCenter ix2-200 attempts to automatically configure your router”.
Het slachtoffer was vergeten de UPnP-functie uit te schakelen na het resetten van de router. De NAS merkte dat, maakte zelf de port-forward aan en groef daarmee zijn eigen datagraf. De daders hadden al toegeslagen op de dag van de routerreset. Maar zelfs dat verhaal heeft een happy end: nadat hij PhotoRec had gebruikt, kon hij zijn vakantiefoto’s weer bekijken. Alleen de volgorde en indeling van alle foto’s was daarna door elkaar, maar dat was met de nodige moeite te verhelpen.
NU IS HET JOUW BEURT!
Dit geval toont aan hoe moeilijk het is om apparaten op het lokale netwerk te beschermen tegen hackers – zelfs als je de gevaren kent. Om een soortgelijke situatie te voorkomen, vatten we in dit artikel de belangrijkste stappen samen om een NAS in je thuisnetwerk te beveiligen. Bedenk daarbij dat de gevaren niet alleen van buitenaf kunnen komen, maar net zo goed van binnenuit. We gebruiken daarbij een Synology-apparaat als voorbeeld, maar de tips gelden ook voor alle andere merken. Je kunt op die manier niet alleen je bestanden beschermen tegen cyberaanvallen, maar ook tegen andere vormen van gegevensverlies.
FIRMWARE-UPDATES
Om een NAS veilig te kunnen gebruiken, moet de eigenaar de firmware up-to-date houden. Firmware-updates dichten vaak beveiligingsgaten waardoor aanvallers toegang hebben tot je gegevens. Idealiter zal de NAS hier zelf voor zorgen: het zal de beschikbare updates automatisch installeren, of op zijn minst de gebruiker informeren om de installatie te starten. Als je NAS een autoupdate mechanisme heeft, zet dit dan aan. Als je NAS je op de hoogte kan stellen van updates, zoals via een pushbericht of e-mail, schakel je deze functie ook in.
Open de configuratie-interface in de browser en log in. Klik vervolgens op ‘Configuratiescherm / Bijwerken & herstellen’ om te zien of de geïnstalleerde firmware (bij Synology heet die DSM, Disk Station Manager) up-to-date is. Zo niet, dan kun je de update direct starten. Klik vervolgens op de knop ‘Instellingen voor bijwerken’ om de automatische installatie van de update in te schakelen. Activeer de instelling ‘De nieuwe update automatisch installeren’.
Je kunt ook het installatieschema wijzigen om te voorkomen dat je NAS doordeweeks uitvalt