Fråga
En kollega ställde i dag en fråga som är högst aktuell i dessa tider. Han tänkte skaffa en NAS, eftersom molntjänster innebär att data ofta blir ”kidnappade” eller försvinner om leverantören beslutar att avsluta tjänsten eller går i konkurs. (Jag kommer ihåg att det fanns en svensk urbergsmolnleverantör, men har glömt namnet.)
En NAS innehåller alla dina personliga känsliga data. Men nästan alla NAS-produkter är tillverkade i Kina och det finns med sannolikhet bakdörrar, säkerhetshål med mera. Jag började snacka om Freenas, men min kollega som jobbar med IoT har inte tid att bygga och installera en sådan.
Några tankar?
Ragnar Möller
Svar
Den svenska tjänsten du tänker på var antagligen Diino. Men det där kan man naturligtvis ha tankar om, inte bara när det gäller NAS-produkter. Det finns säkerhetshål och avsiktliga bakdörrar i en mängd produkter, exempelvis även routrar.
När det gäller oavsiktliga säkerhetshål brukar de pluggas igen av tillverkaren när de upptäcks, så det gäller att alltid vara alert och uppdatera till den senaste fasta mjukvaran (firmware). Sådana luckor har de senaste åren avslöjats i NAS-enheter från flera olika tillverkare, där det främst har handlat om osäkerheter i Telnet och Samba.
Bakdörrar är en annan sak och här finns det kanske anledning att inte bara oroa sig för Kina. En av de största skurkarna på området är nämligen USA, där diverse underrättelsetjänster som NSA har avslöjats med att installera bakdörrar i exempelvis Cisco-routrar. Detta är en av de uppgifter som framkom i Edward Snowdens läckta dokument.
Det går att hitta massor av information på nätet om kinesiska bakdörrar av olika slag, men det är självklart svårt att få någon uppfattning om hur mycket som stämmer. Jag vågar mig inte ens på att försöka gissa hur stor risken är att något sådant skulle kunna finnas i en viss hårdvara.
Frågan är ju också hur stor risken är att någon faktiskt skulle bry sig om att utnyttja sådana sårbarheter när det gäller privatpersoner. Jag använder själv en NAS utan att oroa mig särskilt mycket.
Men det är naturligtvis klokt att vara paranoid, åtminstone till en viss gräns. Det enda absolut säkra är att inte vara ansluten till internet och bosätta sig på någon öde bergstopp. Synpunkter från läsarna är välkomna!
Jag kan rekommendera den utmärkta boken Data and Goliath av Bruce Schneier, som ger en häpnadsväckande och skrämmande inblick i dagens övervakningssamhälle.
1 kommentar
Är man orolig för bakdörrar i sin NAS finns det inte så många alternativ enligt mig än att ta sig tid och bygga en NAS själv. Visserligen lite mer besvär och tidskrävande, men i gengäld betydligt mindre risk för att drabbas av någon bakdörr.