FR EN ES

blog geek

Mot-clé - NAS

Fil des billets - Fil des commentaires

lundi 3 janvier 2011

Maman, je me suis fait pirater mon NAS !

Par le lundi 3 janvier 2011, 21:58 - Sécurité informatique

NAS

Et oui, après mon serveur Linux il y a quelques années, c'est au tour de mon NAS de se faire pirater.

Heureusement ou malheureusement, pas de dégat visible, juste un "white hat" qui s'est amusé à me faire télécharger une vidéo à l'aide du client Bittorent intégré à mon NAS.

Le sujet de la vidéo ?

keynote-securite-we-come-in-peace.jpg

.... la privacy

Ce white hat est peut-être un black hat ? Comment puis-je vérifier s'il n'en a pas profité pour télécharger l'ensemble des données présentes sur le NAS ?

Avec du recul, j'ai fait deux erreurs de débutants :

  • La première erreur fut de considérer qu'un NAS est un coffre fort en terme de sécurité.
  • La deuxième erreur fut de donner un accès Internet à des services de mon NAS que je connaissais mal.

Les hardwares (NAS, caméra wifi, robot ..) avec des OS embarqués sont une aubaine pour les pirates :

  • Ils fonctionnent souvent sous des vieux systèmes GNU/Linux avec des trous de sécurités vieux comme le monde.
  • Ils possèdent des firmwares qui sont très rarement mis à jour par leurs constructeurs et pas les utilisateurs.
  • Ils sont très souvent connectés au net.
  • Ils sont très rarement supervisés par leurs propriétaires, ceux-ci n'ont pas forcément les compétences et les moyens pour le faire.

Si vous avez un NAS, je vous conseille donc fortement de laisser ouvert que les ports et les services que vous connaissez et que vous maîtrisez (SSH).

Si vous avez un NAS LG N2R1, je vous conseille dès à présent de bloquer la visibilité du port 9001 de votre NAS sur le net en attendant une mise à jour.
Le client Bittorent fonctionnant sur le port 9001 du NAS provient de l'excellent projet Opensource TransmissionBt.
Les modifications réalisées par LG pour sécuriser ce client Bittorent sont très partielles et le backend RPC permettant à la console Web de communiquer en Ajax avec le NAS semble avoir été oublié.

http://nas:9091/transmission/rpc/

Ce backend RPC non protégé a permis au white hat de me faire télécharger un fichier avec Bittorent sans que je m'en aperçoive ....

Bien joué !

---

Update 08/09/2011 : Une seconde faille beaucoup plus importante existe

7 commentaires

dimanche 2 mai 2010

NAS LG N2R1 : Firmware Hack

Par le dimanche 2 mai 2010, 21:04 - Hardware

lg-stockage-reseau-NAS-LG-NAS-N2R1-large.jpg

Pour les personnes qui rencontrent quelques soucis avec le NAS LG N2R1 et qui n'ont malheureusement pas de retour du support LG, un allemand met à disposition un Firmware contenant des correctifs de bugs :

http://lg.threnor.de/

Les avantages de ce firmware :

  • Twonky & MediaTomb fournissent une alternative intéressante au service DLNA de LG qui ne fonctionne malheureusement pas avec la Freebox HD.
  • Les services SSH/Telnetd peuvent être activés pour les utilisateurs avancés.
  • Le support de NFS.
  • Quelques correctifs de bugs ont été apportés par la communauté d'utilisateurs au travers du Bug-tracker mis à disposition.

Ce firmware m'a permis de corriger un bug au niveau du serveur FTP qui ne gère pas correctement les droits d'accès au niveau des groupes :

http://lg.threnor.de/mantisbt/view.php?id=9

Ce firmware n'est pas du tout légal et son usage est à vos risques et périls ... Mais il est indispensable pour un geek qui souhaite exploiter au mieux les fonctionnalités de son NAS.

8 commentaires

lundi 1 mars 2010

Résultat du concours LG NAS N2R1

Par le lundi 1 mars 2010, 22:35 - Concours

NAS

Suite au tirage au sort réalisé par Benjamin, mon interlocuteur de la marque LG, le grand gagnant du tirage au sort est Driss Slaoui (commentaire 353).

Bravo à lui, un grand merci à LG d'avoir parrainé ce concours et merci pour vos nombreux commentaires !

Pour ceux comme moi qui rêvent de ce NAS, il est en vente sans disque dur interne à :

A très bientôt pour un nouveau concours !

7 commentaires

mardi 23 février 2010

Cela vous dirait de gagner un NAS LG N2R1 de 2 To ?

Par le mardi 23 février 2010, 00:58 - Concours

LG-N2R1.jpg

Mise à jour

Vu le nombre de commentaires, je vois que l'idée de gagner un Magnifique NAS LG N2R1 de 2 To vous plait bien ;-)

C'est un petit cadeau d'une valeur de 390€ tout de même, merci LG !

Pour éviter de vous faire re-poster un commentaire sous un nouvel article, Je vous propose donc de laisser un seul commentaire en dessous de cet article pour participer au tirage au sort.

Le tirage au sort qui désignera le seul et l'unique gagnant sera réalisé le lundi 1 mars (l'heure sera prochainement précisée), j'ai délégué cette lourde tâche à Benjamin, mon interlocuteur de la marque LG.

Bonne chance à vous tous !

372 commentaires un rétrolien

# Suivez Geeek ;-)



# A propos de l'auteur

Geeek est un blog édité par Ludovic Toinel.

Avec plus de 18 000 lecteurs RSS et plus de 100 000 visites par mois, Geeek est un blog dynamique avec une bonne visibilité.

En savoir plus ...


ipv6 tracker