EX4: questioni sicurezza, problemi di accesso remoto e di controllo

Di seguito diversi problemi (piuttosto critici) che abbiamo riscontrato (in giorni di prove) con il ns. EX4: non abbiamo necessità particolari, bensì soltanto quella di accedere in remoto direttamente al NAS (senza mediazione di altro software) e gestirne il contenuto secondo le autorizzazioni prestabilite e fruendo di una adeguata implementazione dei livelli di sicurezza.

I punti da A a C costituiscono problemi; soltanto quanto riportato al punto D annovera suggerimenti.

 

A)  Sicurezza

le seguenti sono questioni critiche per agli accessi al NAS aziendale che si effettuano da computer che possono essere:

  • di terzi;

  • ad uso promiscuo;

  • non sistematicamente presidiati.

1)   per quanto riguarda credenziali e login:

a)   la dashboard dovrebbe consentire all’amministratore di sistema (non agli utenti) di abilitare/disabilitare il checkbox “ricordami” del login (l’ideale sarebbe che fosse impostabile per ogni utente, ma non è indispensabile);

b)   analogamente al punto a, l’applicazione WD MyCloud non dovrebbe “ricordare” utente e password (la password per l’apertura del software può essere bastante a livello domestico, ma non certo a livello professionale);

c)   l’applicazione WD MyCloud dovrebbe utilizzare gli identificativi degli utenti (la necessità di usare e-mail può andare bene per l’attivazione dell’applicazione, la prima volta, ma poi non ha ragione di essere utilizzata) e, soprattutto, la password impostata a livello di NAS (altrimenti è inutile che l’amministratore imposti password complesse quando poi l’utente usa “pippo”);

almeno, sarebbero da definire i requisiti minimi della password da impostare (lunghezza e tipo di caratteri che debbono essere presenti);

2)   dopo l’ultimo aggiornamento del firmware (1.04.05), a NAS riavviato, le restrizioni di accesso impostate per le varie directory apparivano corrette nella dashboard, ma gli utenti potevano manipolare cartelle per le quali non disponevano di autorizzazione (in particolare potevano salvare e cancellare file in directory di sola lettura);

il problema si è risolto (apparentemente in via definitiva) impostando ex novo le autorizzazioni (esattamente come già appariva che fossero);

3)   abbiamo osservato che la connessione di un utente permane anche dopo la caduta della connessione di rete: gli utenti dovrebbero essere forzati a ri-autenticarsi manualmente (altrimenti si ha un vulnus di sicurezza, visto che l’utente potrebbe dover allontanarsi sebza avere modo di attendere il ripristino del collegamento per disconnettersi);

4)   il timeout di connessione (a dispositivo inutilizzato) non vale per la connessione di un utente in LAN, il che presenta gli stessi problemi di sicurezza di cui al punto precedente.

Quanto ai punti 3 e 4 (riconnessione automatica e timeout per LAN) potrebbero eventualmente intendersi come funzionalità da abilitare/disabilitare via dashboard (come per quanto al punto 1).

B)   Affidabilità e controllo

1)   sfruttando il port-forwarding ed evitando l’uso di WD My Cloud, in connessione remota risulta impossibile effettuare upload, download e apertura file (per tutte le directory, perfino di quella Public) da parte di tutti gli utenti (ovviamente autorizzati in lettura e scrittura), fatta eccezione per l’amministratore;

il problema:

a)   si risolve, soltanto occasionalmente e comunque temporaneamente, impostando ex novo le autorizzazioni (esattamente come già erano…); la questione ricorda quella del punto 2 di A ;

b)   è sensibile anche perché non riteniamo di dover usare obbligatoriamente l’applicazione WD My Cloud per l’accesso remoto, sia in ragione dei rilievi di sicurezza mossi al punto 1 di A , sia perché se dobbiamo dare accesso al NAS ad un Committente è inopportuno doverlo indurre a comunicare la sua e-mail a terzi (WD nella fattispecie, e questo vale a prescindere dall’uso mirato della e-mail che ne fa WD);

2)   la directory Public deve poter essere eliminata (o almeno impostata in sola lettura e, possibilmente, nascosta): francamente non troviamo ragionevole che gli utenti del NAS dispongano di una directory (sottratta al controllo dell’amministratore di sistema) con accesso libero e nella quale si possano caricare file a discrezione (e il problema non si può risolvere con le quote);

faccio notare che la forzosa esistenza della cartella Public ci impedisce di dare accesso al NAS ai ns. Committenti (e questa risorsa è una delle ragioni per cui è stato acquistato il NAS); non possiamo infatti impedire che in questa cartella (accessibile a tutti) siano caricati file:

  • riservati (errore possibile con conseguenze pericolose; e questa ipotesi sarebbe invero da annoverare nelle questioni di sicurezza trattate in A );

  • file infetti (anche se in buona fede; e per gli altri Committenti questo potrebbe farci risultare poco affidabili);

  • file inopportuni (perché il simpaticone di turno si trova sempre, e anche se a noi interesserebbe poco, per altri Committenti la questione potrebbe essere pregiudizievole);

3)   non è possibile gestire le autorizzazioni per le sottocartelle (lo si può fare via LAN sfruttando il sistema operativo, ma non è possibile farlo direttamente con la dashboard);

questo è un limite sensibile se è necessario gestire in remoto il NAS, e crea un po’ di panico per apparenti malfunzionamenti: per rendere accessibile anche in scrittura solo una sottodirectory Y di una data directory X, bisogna impostare X (da dashboard) come accessibile in scrittura e lettura, e bisogna impostare da OS le autorizzazioni di sola lettura per tutte le sottodirectory diverse da Y; a parte la scomodità della cosa (farlo da dashvoard con gli slider sarebbe molto più agevole…), se un utente non autorizzato a scrivere in Y prova a cancellarvi un file, questo apparentemente sparisce (salvo ricomparire, ma non sistematicamente, uscendo dalla sottodirectory e rientrandovi);

il file non viene cancellato, per inciso, ma per qualche tempo non è più visualizzato (occorre almeno che qualche utente acceda o aggiorni la visualizzazione della sottodirectory, e a volte non basta);

C)   Praticità

1)   con connessione remota alla dashboard, per tutti gli utenti diversi dall’amministratore la riga del "percorso " nel visualizzatore file web non viene aggiornata (e costringe a riavviare il visualizzatore per passare a directory superiori);

2)   non è possibile associare mediante i gruppi le autorizzazioni di accesso alle directory (bensì le si può associare solo agli utenti);

in caso di molteplici utenti, livelli di autorizzazione e cartelle, questo complica notevolmente il lavoro (e in pratica rende inutile l’esistenza dei gruppi);

3)   l’upload in remoto blocca la navigazione: se si tenta di chiudere la finestra di upload il NAS avverte che se si procede l’operazione verrà interrotta; sarebbe invece il caso che l’upload procedesse in background.

D)  Funzionalità

1)   notifiche; sarebbe:

  • particolarmente utile poter notificare a utenti predefiniti l’upload di file in particolari directory;

evidenzio che questo sarebbe importante anche nell’ottica di norme quali la ISO 16175 (per i sistemi documentali);

  • utile notificare a utenti predefiniti i download (o l’accesso al NAS) da parte di determinati utenti;

2)   programmazione alimentazione; sarebbe utile poter programmare lo shutoff del NAS almeno in due fasce orarie (con gli attuali slider si può settare una sola fascia oraria di spegnimento);

in nuove versioni del NAS sarebbe utile che questi potesse controllare anche l’alimentazione di un dispositivo esterno, in modo da gestirlo mediante la programmazione dell’alimentazione (si potrebbe ad esempio usare per accendere/spegnere il router a cui il NAS è connesso).

credo che questo post sia da mettere nei suggerimenti per gli sviluppatori più che altro poichè alcune obiezioni sono logiche.

Per quanto riguarda la cartella pubblica invece so per certo che non c’è modo di modificarne o limitarne la sua natura perchè di base è un prodotto che nasce per scopo domestico e non aziendale. si presupporne perciò che in quella cartella ci si mettano solo dati non sensibili o privati.

per le autorizzazioni degli otenti so che l’aggiornamento del firmware (e comunque il reset in generale) annulla ogni limitazione percui dovrai ogni volta reimpostarle daccapo.

le password degli utenti non hanno limitazioni di alcuna sorta e anche per questo non credo che ci sarà mai una modifica anche perchè la situazione è la stessa da anni con i vari nas wd

Be’, grazie per il tempo dedicato alla lettura del post.

Debbo osservare che non soltanto l’EX4, ma anche l’EX2, sono catalogati tra i NAS per piccole uffici da parte della stessa WD (dunque non è un prodotto puramente home che abbiamo ridestinato arbitrariamente).

Peraltro, sul forum in lingua inglese, l’acquisto dell’EX4 da parte di utenza professionale è piuttosto evidente.

Per quanto concerne la cartella Public, francamente noi ci vediamo soltanto un sensibile errore di architettura (anche perchè se non fosse tale, la WD avrebbe già risolto la questione, che sul forum in lingua inglese è piuttosto martellata): d’altro canto, anche un utente privato è naturale che possa non voler concedere diritti in scrittura ad utenti che invece vuole che possano leggere i contenuti del NAS.

In merito all’aggiornamento del firmware e al reset delle impostazioni di sicurezza, anche qui ci pare proprio di essere in presenza di un altro sensibile errore di architettura:

  1. non c’è ragione di riscrivere le ACL annullando il lavoro degli amministratori di sistema;

  2. dopo l’aggiornamento del firmware la dashboard indica che persistono le impostazioni di sicurezza precedenti (come ci si aspetterebbe che fosse), laddove le autorizzazioni risultano di fatto tutte resettate; almeno un messaggio di avvertimento e la corretta visualizzazione, da parte della dashboard, dell’effettivo stato delle autorizzazioni sono evidentemente un must.

Per quanto concerne il resto e l’insieme delle osservazioni del mio precedente post, l’auspicio è che vengano prese in considerazione e vi si rimedi: il carattere di suggerimento che possono avere è trascurabile rispetto a quello di bug e lacuna.

In azienda abbiamo una decina di VelociRaptor e li reputiamo straordinari, d’altro canto abbiamo sembre ritenuto WD un marchio di garanzia (anche con l’EX4 pensavamo di andare sul sicuro…).

Nondimeno, credo che con l’EX4 (non saprei con gli altri suoi NAS…) la Western Digital abbia radicalmente subordinato  lo sviluppo del prodotto (almeno sul versante software/firmware) alla sua immissione sul mercato per l’ampliamento del business cloud.

Se WD non sistema celermente le molteplici magagne del firmware, giocoforza (e ns. malgrado) dovremo rivalutare l’affidabilità del marchio (soprattutto perché non sembra che WD stia lavorando sodo per sistemare la molteplicità  di problemi del dispositivo).

Cordialmente