MyCloud Geräte hackbar


#1

Hallo,
wie man im folgenden Blogeintrag lesen kann, ist es möglich die MyCloud Geräte relativ simpel zu hacken und sich unbefugt Zugriff zu verschaffen.

https://blog.exploitee.rs/?p=750

Wer seine MyCloud nicht zwingend von unterwegs erreichen muss, sollte ihr daher vorerst den Internetzugriff sperren.

Ich hoffe, dass WD schon an einem Update arbeitet…


#2

Wenn ich das recht verstehe reicht es aus den Dashboard Web Zugriff abzuschalten. Ansonsten müsste sich der Angreifer schon direkt physischen Zugriff auf das Netzwerk verschaffen.

Gruß
Ronny


#3

Sehr interessanter Artikel, der mich doch ein wenig nachdenklich macht. So wie der Autor schreibt ist WD wohl nicht die Firma, die am schnellsten auf bekannte Exploids reagiert**

hüstel

Ich hoffe sehr das hier ausnahmsweise einmal schnell reagiert wird. Die Bugs sind ja hervorragend Dokumentiert und haben sogar ihr eigenes Wiki.

**
At Exploitee.rs, we normally attempt to work with vendors to ensure that vulnerabilities are properly released. However, after visiting the Pwnie Awards at the last BlackHat Vegas, we learned of the vendor’s reputation within the community. In particular, this vendor won a “Pwnie for Lamest Vendor Response” in a situation where the vendor ignored the severity of a set of bugs reported to them.


#4

Die Meldungen bezüglich dieses Themas überschlagen sich zur Zeit, ist ja auch ein gefundenes Fressen.
Was mich aber an der Sache etwas nervt ist dass es sich nicht nur um ein paar sondern um massenhafte Fehler handelt.
Ich erwarte ja nicht viel von den Dingern. Sie sollen funktionieren und das tun sie bei mir aber Sicher sollten sie schon weitestgehend sein soweit es dem derzeitigen Stand der Technik entspricht. Wenn man dann aber auch noch liest dass es sich um Anfängerfehler handelt was auch nachvollziehbar ist bin ich regelrecht erschrocken.
Man bedenke das da auch hochpreisige KMU Geräte dabei sind.


#5

Hab mir erst vor kurzen die EX2Ultra zugelegt. War bis dato zufrieden, da für meine Zwecke ausreichend.
Wenn ich nun aber diese Meldungen lese, bin ich schon schockiert, welch Dilettantismus hier augenscheinlich
an den Tag gelegt wurde…

Vielleicht liegt es daran, das die ganze NAS-Konstellation bei WD eher dazu dient ihre HDD`s an den Mann zu
bringen?! NAS und deren Software sind somit nur “schmückendes” und verkaufsförderndes “Beiwerk”, was
dementsprechend vernachlässigt wird…

Bin echt am überlegen, ob ich meine WD Red in NAS-Gehäuse von Marktbegleitern stecke, die ihr Geld tatsächlich
mit NAS verdienen… und dementsprechend wohl professioneller an die Sache heran gehen…


#6

Hi,

[quote=“Walter_Walter, post:5, topic:198135”] …Vielleicht liegt es daran, das die ganze NAS-Konstellation bei WD eher dazu dient ihre HDD`s an den Mann zubringen?! NAS und deren Software sind somit nur “schmückendes” und verkaufsförderndes “Beiwerk”, wasdementsprechend vernachlässigt wird…
[/quote]

Ja, natürlich - was dachtest Du denn? WD will seine HDD’s verkaufen. Und Nix anderes. Wieso sollte sonst das kostenlose Linux “Debian” zum Einsatz kommen und keine Eigenentwicklung? Damit WD uns was Gutes tut?

Insgesamt finde ch das jedoch nicht verwerflich. WD hat eben einen Vertriebsweg erweitert und bietet seien HDD’s nun eben, für wenig Euro, mit Gehäuse und einem kleinen Rechner an der dann als …
“Home Cloud” beworben wird. Schwerpunkt liegt auf “Home” oder “Privat”. Wer die Dinger dennoch (semi-) professionell nutzt darf sich ncht wundern - und rummeckern schon gar nicht.

Auch die DNS gehört zum Umfang. Bei so wenig Geld sind eben einige Macken drin. Dennoch muss ich sagen das die Dinger doch ganz passabel laufen für den Preis … teurer geht immer. Und im Zweifel zum Mitbewerb. Aber dich kochen auch nur mit Wasser.

Gruß
Lucky


#7

Hi,

man muss mal rechnen ich habe dei 4 TB Mycloud bei Amazon für 160€ gekauft, keine Ahnung was genau momentan eine 4 Tb Dauerläufer Platte kostet aber es ist nicht viel weniger teilweise eher noch mehr. Das heist eine Hardware und Software Nas für paar € dafür läuft das Ding echt gut. Klar Punkto Sicherheit ist wichtig aber für 100 Prozent Sicherheit (falls es das überhaupt gibt) muss man mehr zahlen als 2-3 €, da musst du zur NetApp gehen da zahlst du aber nur für Gehäuse ohne Platten um die 70000€ :wink:
Gruss


#8

Klar soweit, wie ich auch schrieb: für meine Belange war ich soweit zufrieden…
Das es in heutigen Tagen keine 100%ige Sicherheit mehr gibt (schon garnicht im Consumer-Bereich) ist mir auch klar.
Auch bei Q…p und Sy…gy wird diesbezüglich nur mit Wasser gekocht… :wink:
Aber grundsätzliche Basics und Sorgfalt sollten doch wohl von einem big player (zumindest was die Umsätze betrifft) zu erwarten sein.


#9

Hi,

ist wohl ehr eine Frage wie Du Basics definierst. Ich glaube kaum, das WD ohne eine Menge an Arbeit die Systeme anbietet. Insofern. sind “sogenannte” Basics wohl eher mehr als erfüllt. Und auch was die Sorgfalt angeht …

WD ist gehackt worden. Das passiert vielen großen Firmen jeden Tag. Apple, Microsoft, Pentagon … um nur einige zu nennen. Da wurde enorme Energie eingesetzt um das Sicherheitssystem eines großen IT Unternehmen zu knacken … Ich denke nicht, dass WD hier keine Sorgfalt walten ließ.

Gruß
Lucky


#10

Stimmt :slight_smile: alleine yahoo wird schon ein paar € für die Sicherheit bezahlt haben aber ging trotzdem ganz schön schief :slight_smile:


#11

Gut, ich lass das jetzt mal so im Raum stehen…
Ich bin da auch zu wenig Experte, um die Details dahinter wirklich bewerten zu können. Liest man allerdings einige fachmännische Kommentare von Fachleuten in div. Foren wirft das kein gutes Bild…
Aus Höflichkeit im hauseigenenen Forum verkneife ich mir jetzt mal eine entsprechende Verlinkung…


#12

Hallo an die lieben Forum Nutzer,

Wen es interessiert, hier gibt’s die offizielle Aussage von WD zu lesen.

Gruss,
Patchy


#13

Yipp, schon gesehen… lasst Taten sprechen! Dann laß ich mich vielleicht wieder überzeugen…


#14

Entscheidend ist doch für mich als Nutzer, ist mein System jetzt aktuell sicher, bez. Was kann ich tun um Risiken zu vermeiden? Das fehlt mir ein bisschen bei der ganzen Thematik. Also das mal jemand Klartext spricht was jetzt sache ist und was genau das Problem ist. Wenn man das nicht macht ist es für mich schwer weiterhin Vertrauen in die Produkte zu haben.


#15

Also ich hab den Remote-Zugriff bereits komplett deaktiviert. Cloud-Funktion also passe und somit den Anwendungsumfang masssiv kastriert. Ich hoffe, dass sperrt das Haupteinfallstor erstmal zu…
Was daneben noch im Argen liegt, weiß ich auch nicht so recht…
Wenn man aber liest, dass sich durch diese Lücke Schadcode installieren läßt und das gesamte eigene Heimnetz gefährdet sein könnte, wird mir schon mulmig zumute…


#16

Auch ohne MyCloud wird Dein Heimnetz (und meins sicher auch) für den ambitionierten Hacker kein Problem darstellen. Ich empfange zu Hause alleine drei ungesicherte WLAN-Netze aus der Nachbarschaft. Da fragt man sich echt ob die Leute nix mitbekommen.


#17

Das mag ja sein… ich lass aber, wenn ich das Haus verlasse, auch kein Fenster auf kipp - obwohl ich weiß, dass “ambitionierte Einbrecher” mit der entsprechenden Brachialgewalt und Zeit auch ein geschlossenes Fenster öffnen können.:sunglasses:

PS: ich verstehe eure Sorglosigkeit offen gesagt nicht…


#18

hi

ich hab hier noch eine “WD My cloud 2TB” der ersten generation. Hatte in der Vegangenheit Probleme
mit der NAS im LAN und deswegen habe ich immernoch die alte Firmaware drauf “v04.01.00-408”:
sie läuft in meinem LAN ohne Probleme.

Einige user haben geschrieben man muss den Web-Zugriff im Dashboard deaktivieren. Könnte jmd. genau erklären was genau man dort ändern muss?

In meinem Dashboard (Menu “Cloud-Zugriff”) steht unter Anderem:

“Für USER_MARTINA ist kein Zugriff auf ein Cloud-Gerät konfiguriert. Klicken Sie auf „Code abrufen“, um einen Aktivierungscode für Ihre Cloud-Geräte zu generieren. Die Codes sind 48 Stunden
gültig und können nur einmalig verwendet werden.”

Ist das schon die erforderliche/notwendige Änderung im Dashboard? Oder muss man evtl. noch etwas anderes ändern?

vielen Dank !


#19

In den Einstellungen findest Du folgende Möglichkeit, die wie hier auf dem Bild abgeschaltet werden kann:


#20

Also für die Mirror ist ein Firmwareupdate verfügbar.