Hackers misbruikten zeroday die al sinds 2011 in My Book Live-hdd's zat

Western Digital zegt dat de hackers achter de kwaadaardige software in My Book Live- en Live Duo-harde schijven, waardoor gebruikers van de schijven massaal hun data kwijtraakten bij het aansluiten op internet, een zeroday gebruikten en geen bug uit 2018.

Western Digital raadde gebruikers vijf dagen geleden aan om de WD My Book Live en WD My Book Live Duo los te koppelen van internet om gegevensverlies te voorkomen, nadat zij erachter waren gekomen dat de apparaten kwaadaardige software kunnen bevatten die de schijven naar fabrieksinstellingen terugzet en alle gegevens van gebruikers wist.

In eerste instantie werd hierbij gedacht dat er gebruik werd gemaakt van een kwetsbaarheid die sinds 2018 bekend was. In een update op hun website schrijft Western Digital dat uit nader onderzoek blijkt dat het gaat om een zeroday, een niet eerder ontdekte kwetsbaarheid die al in 2011 werd geïntroduceerd aan My Book Live als onderdeel van een refactor van de authentificatielogica in de firmware van de harde schijf. De kwetsbaarheid maakte het mogelijk om op afstand code uit te voeren via een administrator api, waardoor zonder inlog een factory reset kan worden ingesteld. Naast CVE-2018-18472 heeft WD ook CVE-2021-35941 geregistreerd.

Western Digital biedt vanaf juli alle My Book Live-gebruikers een data-recoverydienst aan. Ook kunnen zij hun My Book-harde schijf inruilen voor een My Cloud-apparaat. Begin juli zal het bedrijf daar meer details over bekendmaken.

Reacties (82)

CAPSLOCK2000 30 juni 2021 12:06

Western Digital biedt vanaf juli alle My Book Live-gebruikers een data-recoverydienst aan. Ook kunnen zij
hun My Book-harde schijf inruilen voor een My Cloud-apparaat.

Ik hoop dat de meeste mensen even goed nadenken of het nu wel zo verstandig is om je data toe te vertrouwen aan dit bedrijf. Wat voor garanties zijn er dat die My Cloud software niet net zo lek is?
("my cloud" is zo een tegenspraak dat je sowieso al op je hoede zou moeten zijn)
Zo te zien ondersteunt deze dienst nog steeds geen MFA terwijl er al jaren om gevraagd wordt op het support forum. (Dit kan ik niet echt met zekerheid zeggen, maar als het er is dan moet het wel een recente toevoeging zijn gezien de vele vragen hierover).

[Reactie gewijzigd door CAPSLOCK2000 op 25 juli 2024 21:24]

Xfade @CAPSLOCK2000 • 30 juni 2021 21:52

Daarnaast, als je schijf gewist is, en het had encryptie, dan heb je er niet veel aan lijkt me.

arjandijk162 @CAPSLOCK2000 • 30 juni 2021 16:03

Dit is het risico van elk device dat online is. En dat device is gemaakt door, jawel, een bedrijf. Garanties heb je niet, net als bij een politiekeurmerksticker op je deur. Enige wat je kan doen, is je huiswerk, backuppen en updaten en hogere beveiliging regelen voor belangrijkere data.

CAPSLOCK2000 @arjandijk162 • 30 juni 2021 16:19

Dit is het risico van elk device dat online is.

Nee hoor, er zijn leveranciers die keer op keer goed werk leveren en je hebt leveranciers die het keer op keer verprusten. Ik zeg nog niet dat WD het een of het ander is, maar op grond van dit voorbeeld hebben ze de schijn tegen. Dat ze blijkbaar nog steeds geen MFA hebben helpt ook niet.

En dat device is gemaakt door, jawel, een bedrijf.

Er zijn goede en slechte bedrijven.

Garanties heb je niet,

Ja, en dat is een groot probleem. Een garantie is overigens niet hetzelfde als wetenschappelijk bewijs. Garantie is vooral de afspraak dat de leverancier z'n beloftes na komt of zorgt voor een vergoeding als dat toch niet lukt. Software heeft typisch geen enkele garantie. Als het stuk is dan is dat jouw probleem. Zo werkt dat nergens, maar wel bij software.

Enige wat je kan doen, is je huiswerk,

Wat voor huiswerk? Mensen kunnen niet bij WD achter de schermen controleren hoe het daar geregeld is. Ik denk dat veel mensen zelfs juist voor dit merk en product kiezen omdat ze vertrouwen op de goede naam omdat ze niet de vaardigheden hebben om zelf iets te controleren, voor zover dat uberhaupt mogelijk is in de cloud van een ander.

backuppen

Als ik het goed begrijp koop je deze schijven omdat je de backup er bij krijgt. Van consumenten kun je niet verwachten dat ze nadenken over dubbele onafhankelijke backups.

hogere beveiliging regelen voor belangrijkere data.

Dat is precies waar ik het over heb.

arjandijk162 @CAPSLOCK2000 • 30 juni 2021 22:23

Volgens mij zijn we het redelijk eens, maar overal lopen prutsers.

Maar het is denk ik tijd voor keurmerken over beveiligingsniveaus. Een rating van 1-5 afhankelijk van de testprocedures en standaardmaatregelen die worden genomen door een hardware leverancier.

cyuen @CAPSLOCK2000 • 30 juni 2021 17:01

Je zou in feite kunnen vragen of mensen moeten nadenken of het zo verstandig is om belangrijke data te verbinden de internet. 100% garanties lijken er niet echt te zijn

gbrugman @CAPSLOCK2000 • 7 juli 2021 18:13

Dit is dus het aanbod: Western Digital is offering current registered My Book Live or My Book Live Duo customers a trade-in discount of 40% off a select new My Cloud™ Home personal cloud storage or My Cloud EX2 Ultra 2-bay network attached storage device.

Donool 30 juni 2021 11:24

"De kwetsbaarheid maakte het mogelijk om op afstand code uit te voeren via een administrator API, waardoor zonder inlog een factory reset kan worden ingesteld":

function post($urlPath, $queryParams = null, $ouputFormat = 'xml') {
// if(!authenticateAsOwner($queryParams))
// {
// header("HTTP/1.0 401 Unauthorized");
// return;
// }

bron: https://arstechnica.com/g...ipe-my-book-live-devices/
broncode: https://paste.debian.net/plainh/7630c424

[Reactie gewijzigd door Donool op 25 juli 2024 21:24]

Gamebuster @Donool • 30 juni 2021 11:31

Dus:

- Geen code reviews
- Geen unit tests, integratie tests, of whatever tests
- Geen QA/Software testers
- Geen enkele andere ontwikkelaar die even snel over de code leest om te kijken of er gekke dingen in staan
- Geen 3rd party consultant die even de code door skimt om te kijken of er geen gekke dingen in staan

Lekker bezig Western Digital.

[Reactie gewijzigd door Gamebuster op 25 juli 2024 21:24]

vliegendekat @Gamebuster • 30 juni 2021 11:37

Deze is hier van toepassing.

White_Collar @vliegendekat • 30 juni 2021 11:57

Dit komt ook wel aardig in de buurt

[Reactie gewijzigd door White_Collar op 25 juli 2024 21:24]

Sandor_Clegane @White_Collar • 30 juni 2021 12:07

Dat blijft echt zo mooi, ik schiet altijd in de lach als ik die dude zie.

JurGor @Sandor_Clegane • 30 juni 2021 12:30

'El Risitas', geniaal.

De man zelf is er niet meer, maar zijn erfenis is groot op het internet.

White_Collar @Sandor_Clegane • 30 juni 2021 13:29

Same, echt een legend

Rip

Sandor_Clegane @vliegendekat • 30 juni 2021 12:39

Deze ook wel: https://www.youtube.com/watch?v=-DT7bX-B1Mg

Jogai @vliegendekat • 30 juni 2021 14:33

Meer deze: https://xkcd.com/424/

OxWax @vliegendekat • 30 juni 2021 12:30

Deze is hier van toepassing.

Ik zou het nog grappiger kunnen vinden als ik wist wat een "pull request" was

Tim_bots @OxWax • 30 juni 2021 13:50

Met een pull request vraag je aan de eigenaar of deze jou code naar de "main" branch wilt mergen (samenvoegen).
Pull requests worden voornamelijk gebruikt in combinatie met git (hub).
Zie bijvoorbeeld hier voor een voorbeeld https://github.com/shanse...tToOBSSceneSwitcher/pulls
Andere mensen als de eigenaar hebben op hun eigen branch code geschreven en dit zijn de verzoeken hun code op te nemen in de hoofd code.

OxWax @Tim_bots • 30 juni 2021 14:11

Andere mensen als de eigenaar hebben op hun eigen branch code geschreven en dit zijn de verzoeken hun code op te nemen in de hoofd code.

Thanx Tim, kon het niet afleiden uit de term zelf. (to merge had dan betere term geweest imo)

[Reactie gewijzigd door OxWax op 25 juli 2024 21:24]

dnrb @OxWax • 30 juni 2021 16:01

Er zit nog wel wat meer bij. Degene die de merge doet hoort eerst de code te bekijken op onderhoudbaarheid, KISS, DRY, Is het goed gedekt met tests. En... doet het wat het moet doen.

Gamebuster @vliegendekat • 30 juni 2021 18:04

"Must be a string" feedback is ook leuk. Er mist nog gezeur over whitespace

Verwijderd @Gamebuster • 30 juni 2021 11:48

Je kan terecht commentaar hebben op WD dat ze in 2015 dit product end of life maakten en meteen geen updates meer uitbrachten. Daarmee zet je de laatste kopers behoorlijk in de kou, want eigenlijk zou je een discontinued netwerkproduct niet meer in moeten zetten. Ik zou dat product onmiddelijk wegens non conformiteit terug brengen naar de winkel en indien nodig een hoop stampij maken.

We zijn inmiddels echter 6 jaar verder en iedereen die nog steeds zo'n apparaat in gebruik heeft is zelf onverantwoord bezig. Dan kan je echt de schuld niet meer bij de code reviews/QA van WD neerleggen.

Dit soort producten hebben een levensduur die meer bepaald is door de software updates dan door de hardware. Als je een NAS koopt is ondersteuning van de fabrikant zo'n beetje de belangrijkste eigenschap.

Het is veel te laat om WD de schuld te geven, het is netjes van ze dat ze nu proberen te helpen om de onkunde van hun klanten te proberen op te lossen.

Als je een NAS wil, doe jezelf een lol en koop alleen bij partijen met een bewezen support trackrecord en koop geen overjarige modellen. Of als je de kennis hebt bouw je er zelf één op basis van een unix versie die goed onderhouden wordt en doe je je eigen updates en support. Maar dat is echt iets voor een kleine minderheid van de gebruikers.

bwerg @Verwijderd • 30 juni 2021 12:01

Ik zou dat product onmiddelijk wegens non conformiteit terug brengen naar de winkel en indien nodig een hoop stampij maken.

We zijn inmiddels echter 6 jaar verder en iedereen die nog steeds zo'n apparaat in gebruik heeft is zelf onverantwoord bezig.

Strikt genomen "verjaart" conformiteit niet. De vraag is enkel of het defect komt door een fundamenteel gebrekkig product, of door te verwachten slijtage.

Software is wat dat betreft een beetje een vreemde eend in de bijt, want het slijt niet. Bij een 20 jaar oude auto valt er weinig te klagen als 'ie uitvalt, want geen enkele auto gaat oneindig lang mee, maar perfecte software zou in principe wel oneindig mee (of in ieder geval tot 2038, wanneer unix timestamps gaan overflowen

). Maar dat valt niet te handhaven want er bestaan geen softwarebug-vrije producten, dus daar wordt pragmatisch mee omgegaan - voor zover mijn gebrekkige juridische kennis reikt is hier niet een heel duidelijke richtlijn voor. Maar als de software echt heel slecht is kom je toch niet onder wetgeving uit, en wat dat betreft is deze bug wel echt van de buitencategorie.

Jammer alleen dat je als consument alleen de verkoper met het probleem kan opzadelen, en niet Western Digital.

bytemaster460 @bwerg • 30 juni 2021 12:07

Zover ik weet vallen dit soort bugs niet onder non-conformiteit.

bwerg @bytemaster460 • 30 juni 2021 12:29

Waarom niet? Conformiteit is bewust breed gedefinieerd. Als een product gewoon niet bruikbaar is zoals de consument had mogen verwachten, dan is dat non-conformiteit. Tenzij er een specifieke wet is die bepaalde categorieën software-bugs uitsluit valt gewoon alles onder die brede definitie, en ik zie niet in waarom daarop een uitzondering zou zijn.

Het enige wat wat dat betreft speciaal is aan software is dat updates het gedrag veranderlijk maken, dus als een update na de verkoop iets stukmaakt is het concept "bij verkoop aanwezig" niet helemaal van toepassing. Terwijl je tegelijkertijd wel updates zou mogen verwachten, dus die moeten tot op bepaalde hoogte ook goede werken.

bytemaster460 @bwerg • 30 juni 2021 12:39

Als een stuk software ervoor zorgt dat het product niet doet wat het belooft, kun je het onder non-conformiteit scharen. Het product belooft echter niet bugvrij te zijn of absoluut veilig. De wetgever zorgt ervoor dat er ruimte voor redelijkheid bestaat. Het zou een nare situatie worden als iedere softwarebug als non-conformiteit bestempeld kan worden. Er bestaat natuurlijk een grijs gebied en daar mogen juristen zich over buigen. Ik verwacht niet dat deze bug daar onder kan vallen. Je kunt WD hoogstens verwijten dat ze veel te weinig gedaan hebben om het op te lossen en klanten te waarschuwen.

Verwijderd @bwerg • 30 juni 2021 12:50

De fout in de software staat er bij levering in en maakt het product ongeschikt voor het beoogde gebruik.

Het schoolvoorbeeld van non-conformiteit!

Het wordt een ander verhaal als de omgeving verandert en het product daardoor niet meer bruikbaar is.

Hansie9999 @Verwijderd • 30 juni 2021 13:01

Daarom dat ik ook vind dat de overheden een verplichting zouden moeten uitbrengen dat van moment een fabrikant een product NIET meer ondersteund en voorziet van updates ze VERPLICHT zouden moeten zijn om hun software/firmware opensource te maken en de source code vrij te geven.

Net zoals ik vind dat wanneer bijvoorbeeld Electronic Arts beslist om van een game die mensen PUUR kochten voor de multiplayer de servers offline te halen wegens te weinig inkomsten ze ook de source code en tools beschikbaar moeten maken zodat mensen ZELF servers kunnen opzetten, als ze dan niet willen dat andere mensen geld verdienen door servers te verhuren, dan moeten ze deze maar zelf online houden.

Natuurlijk gaat dit nooit gebeuren, maar we kunnen dromen hé

Verwijderd @Hansie9999 • 30 juni 2021 14:06

Verplicht open source zie ik niet zitten als enige optie.

Redelijker zou zijn dat er een minimum periode na stoppen van verkoop (dus niet zoals nu bij telefoons een periode vanaf introductie) is dat een fabrikant de beloofde functionaliteit moet blijven ondersteunen met security updates en bug fixes. Hierbij een verplichting om tussenpersonen (winkels) vooraf in te lichten wanneer deze support termijn ingaat en een maximum periode te geven waarbinnen het product nog verkocht kan worden.

Bij open source maken van de software zou deze support periode koster (maar niet nul kunnen zijn). Je weet immers niet of er mensen zijn die een OS project oppakken, dus een minimale periode zou een fabrikant verplicht nazorg moeten leveren.

Voor een consumenten NAS zoals hier zou je kunnen zeggen: 5 jaar na stoppen verkoop security en bugfixes verplicht. Bij Open Source maken verplicht 3 jaar lang de kar trekken en verplicht om security en bugfix uit te brngen als de community dit (nog) niet heeft opgepakt.

(online) games is een probleem op zich wat veel verder gaat.

Hansie9999 @Verwijderd • 30 juni 2021 14:35

Goh,

In ieder geval ze verplichten om het mogelijk en zeker niet extra moeilijk te maken om voort te ontwikkelen,

net zoals het nu voor sommige smartphones bijna onmogelijk is om een custom rom te maken (mijn oneplus heeft elke week de laatste nieuwe android security updates via LineageOS, dat kan denk ik zelfs Samsung niet zeggen van hun flagship phones en al ZEKER NIET als ze "ocharme, AL 2 jaar oud zijn"

Net zoals ik een 10000x betere firmware op mijn TP-Link router kan zetten (openWRT, DD-WRT, Gargoyle, ...) maar dan halveer ik mijn WAN snelheid

want ze willen de hardware chip driver niet vrijgeven en nu moeten die dus met software drivers werken

Gewoon belachelijk is het,

En ik persoonlijk ben niet van mening dat alles na 3-5 jaar moet weggegooid worden !!!!!
Dat is een serieus probleem met deze wegwerp maatschappij, ik wil trouwens bijvoorbeeld mijn NAS enkel vervangen als hij niet snel genoeg meer is of geen nieuwe grote schijven aankunnen, en NIET omdat de fabrikant beslist om geen software updates meer uit te brengen !!!!!
Als je die NAS enkel gebruikt om foto's en documenten op te bewaren dan is die na 10+ jaar nog altijd goed genoeg.

bytemaster460 @Verwijderd • 30 juni 2021 12:10

Dit zijn echt producten voor de consument en niet zozeer voor de onderlegde IT-er. Heel veel consumenten hebben geen weet van de noodzaak van support. Voor hen geldt: als het werkt, werkt het.
Een bedrijf als WD zal dus zijn verantwoordelijkheid moeten nemen en de mensen veel beter moeten informeren als blijkt dat er zo'n groot lek aanwezig is of alsnog een patch uit te brengen, ook al is de support afgelopen. Dat is WD wel degelijk aan te rekenen.

Verwijderd @bytemaster460 • 30 juni 2021 12:56

Het grootste probleem is dat consumenten producten willen gebruiken die Ienige ate van IT kennis vereisen en geen enkele moeite doen om zich die kennis eigen te maken.

Dat je software en hardware die niet meer ondersteunt wordt niet online moet gebruiken (en bij voorkeur helemaal niet meer) is algemene kennis die iedere computergebruiker zou moeten hebben en dus niet WD aan te rekenen als men dat niet weet.

Ik hoop dat op middelbare scholen hier wat meer aandacht aan besteed kan worden, zodat het inderdaad in ieder geval voor de toekomst algemen kennis wordt.

bytemaster460 @Verwijderd • 30 juni 2021 13:02

Van heel veel producten die we dagelijks gebruiken weten we niet hoe het onder de motorkap allemaal werkt, maar bij IT producten vinden we dat je onderlegd moet zijn in de achtergronden. Bij andere sectoren wordt te verwachte onwetendheid van de gebruiker gewoon ondervangen door degelijke support of aanvullende diensten.

Verwijderd @bytemaster460 • 30 juni 2021 13:24

Bij al die andere zaken moet je voor support na EoL toch echt naar betaalde diensten van derden als er onderhoud nodig is. Ik ken geen enkele consument die hiervoor bij IT producten wil betalen.

En heel veel van die producten zijn al fundamenteel anders als IT producten omdat er geen continu ondrhoud / monitoring voor nodig is.

Kort samengevat: Men, inclusief jij, maakt de fout te denken dat IT producten net als anderen (consumenten) producten zijn. Dat is een fout uitgangspunt en wekt verkeerde verwachtingen.

bytemaster460 @Verwijderd • 30 juni 2021 16:12

Als je IT producten anders benadert dan andere producten worden het vanzelf uitzonderingen op de regel. Als een fabrikant na de reguliere support wel nog kritische patches zou blijven uitbrengen en dit verrekenen met een iets hogere aanschafprijs is er niets aan de hand.

Verwijderd @bytemaster460 • 30 juni 2021 18:11

Nee, het is niet dat je IT producten anders benadert, het is dat ze anders zijn!

Moderne computers/telefoons/etc... hangen allemaal in een netwerk waarop ook kwaadwillenden actief zijn die continu op zoek zijn naar manieren om beveiliging te omzeilen. De producten zijn complex en het is een utopie te denken dat die ooit foutloos zullen zijn. Het gevolg is dat deze IT producten nooit 'af' zijn.

Eeen koelkast, boormachine, auto of vrijwel elk ander niet IT product is op een gegeven moment af en na de garantie periode kan je tegen kosten defecte onderdelen laten vervangen zolang die voorradig zijn of iemand ze (op maat) fabriceert.

Dat is een wezenlijk verschil, zonder als fabrikant een cut off datum vast te stellen kan je potentieel jaren lang een product moeten ondersteunen omdat er kwetsbaarheden zijn gevonden. Dus krijgen IT producten een kunstmatige datum waarna er geen onderhoud meer aan wordt gepleegd door de leverancier.

Die iets hogere aanschafprijs wordt al snel flink hoger als je in gedachte neemt dat je dus voor elk oud product de kennis en personele capaciteit in stand moet houden om die te kunnen onderhouden.

De smartphone markt is echter een duidelijk indicatie dat de consument die prijs niet zal betalen, hele hordes kopen drie jaar oude modellen uit de aanbiedingen bak die op moment van aankoop al EoL zijn. Een fabrikant die die onderhoudsprijs in rekening brengt zal op de consumentenmarkt ten onder gaan aan dozenschuivers, hiervoor is alleen in de professionele markt plaats.

De enige oplossing die ik hiervoor zie is een verplichting aan alle fabrikanten om duidelijk te zijn over support termijnen en gevolgen van einde support. Een verplichting om na einde verkoop nog een redelijk support termijn te bieden voor de laatst verkochte exemplaren en een flinke educatie campagne om de mensen bewust te maken dat louter het feit dat een apparaat fysiek nog werkt niet betekent dat het veilig of verstandig is het te blijven gebruiken. En dat de levensduur van dit soort producten door de support bepaald wordt en niet door hoe lang het fysiek heel blijft. (in tegen stelling tot een koelkast bijvoorbeeld)

VanStino @Verwijderd • 30 juni 2021 12:01

Ik kan je mening deels volgen, ik krijg de kriebels van een eindeloze "if it ain't broke, don't fix it" mentaliteit. Echter authenticatie commenten mag toch wel zeker in de schoenen van WD geschoven worden. Je zet tenslotte een slot in je deur in de hoop dat die niet met de achterkant van een lepel ook opengedraaid kan worden. Als dat slot verouderd is dan mag ik toch nog altijd hopen dat je een klein beetje skills nodig hebt om het open te krijgen.

Verwijderd @VanStino • 30 juni 2021 12:53

Als dit in 2015 had gespeeld was ik het geheel met je eens geweest, de fout is van niveau kleuterschool en je had meer mogen verwachten van WD.

Maar in 2021 zou dit apparaat uberhaupt al niet meer in gebruik moeten zijn.

ejay79 @Verwijderd • 30 juni 2021 14:27

Maar in 2021 zou dit apparaat uberhaupt al niet meer in gebruik moeten zijn.

Volgens welke regels, die van jou?
Ik heb een schijf uit dit artikel, niet internet connected tho, en die doet het nog prima na 7-8 jaar.
Ik mag toch zelf bepalen wat ik ermee doe en hoe lang?

Verwijderd @ejay79 • 30 juni 2021 14:52

Niet vanwege regels, maar omdat je deze problemen niet wil.

In 2015 is de support stopgezet en daarmee zou je (hoe slecht het ook is van WD) de online funtionaliteit vanaf dat moment als onveilig moeten bestempelen. Aangezien het om data opslag gaat en mensen die doorgaans niet willen verliezen zou je uit praktisch oogpunt de online functionaliteit van dit apparaat niet meer moeten gebruiken.

Je hebt helemaal gelijk dat als je het apparaat goed afschermt van het internet je hem nog prima kan gebruiken als niet internet connected netwerkschijf. Alleen hoeveel mensen hebben de kennis om die beveiliging goed te doen?

Ik zou zelf waarschijnlijk deze schijf als een offline backup inzetten. Periodiek aansluiten op een vrije poort op mijn Synology NAS op een eigen VLAN en de synology een backup naar de schijf laten maken. Schjf afkoppelen en in de (brandwerende) kluis opslaan.

Geen idee of die dingen Gb ethernet ondersteunen, gezien de leeftijd kan het zomaar max 100Mb zijn en dan zou ik de harddisks eruit halen en het apparaat bij de vuilnis zetten. 100Mb internet is voor mij geen acceptabele snelheid meer)

LooneyTunes @Verwijderd • 30 juni 2021 17:25

Geen idee of die dingen Gb ethernet ondersteunen, gezien de leeftijd kan het zomaar max 100Mb zijn en dan zou ik de harddisks eruit halen en het apparaat bij de vuilnis zetten.

Gigabit verbinding, snelheid ~30MB/s. (USB2 is er snel bij

)
Ik heb er hier 2 in gebruik als time-machine en daarvoor is het snel zat (tenzij je een complete disk wilt terugzetten, dan kan je heel wat bakken koffie gaan drinken)

[Reactie gewijzigd door LooneyTunes op 25 juli 2024 21:24]

t_o_c @Verwijderd • 30 juni 2021 13:00

Opzich is er niks mis met het gebruiken van een oude nas. Alleen is het dan wel zo slim om het ding niet direct aan het internet te hangen. Er is natuurlijk geen garantie dan een nieuwe nas geen vergelijkbare bugs heeft dus als je slim bent dan maak je je nas sowieso alleen via een VPN oid toegankelijk.

Verwijderd @t_o_c • 30 juni 2021 13:20

Dat laatste is hoe ik het vanaf het begin heb geregeld,

NAS alleen op het lokale bedraade vlan (niet via wifi, dat is een ander vlan) bereikbaar en een BSD based VPN server is de enige machine die externe verbindingen accepteert.

Telefoon, laptop en tablet verbinden met VPN en Desktop zit in zelfde vlan als de NAS.

ejabberd @Verwijderd • 30 juni 2021 17:36

Ik heb mijn NAS vervangen door een Intel NUC met een grote SSD en er zelf Debian op geïnstalleerd. Is nu gewoon een kwestie van soms overschakelen naar een nieuwe stable versie.

barrymossel @Verwijderd • 1 juli 2021 11:01

De MyBookLive is nou niet echt een product voor mensen die er echt verstand van hebben, maar meer voor een doorsnee consument. Daarvan kun je (nog) niet verwachten dat zolang het product nog werkt ze doorhebben dat er iets mis is, of dat het product onveilig is.

Verwijderd @barrymossel • 1 juli 2021 11:29

Dat is de verantwoordelijkheid van de consument om te weten wat hij koopt afschuiven op de fabrikant.

Het is in 2021 (en eigenlijk al sinds men alles aan het internet wil hangen) niet houdbaar dat mensen geen weet hoeven te hebben van de risico's die online apparaten lopen en het belang van updates.

Dat kan je echt niet meer op de fabrikanten afschuiven. Ik erger mij dood aan de huidige afschuif mentaliteit, het wordt tijd dat men leert verantwoordelijkheid te nemen voor de eigen gebreken/nalatigheid.

barrymossel @Verwijderd • 1 juli 2021 11:50

De vraag is in hoeverre hier de zorgplicht van toepassing is. Of misschien een meldplicht, in de zin van een mail in 2015 met de strekking: "dit product is onveilig, trek de stekker eruit".
Overigens erger ik mij juist aan de laksheid van fabrikanten en de weggooi-mentaliteit van hen. Als zij gewoon zorgen voor beveiligingsupdates voor de levensduur van hun producten, dan hoef je ook niet na een paar jaar zo'n NAS weg te gooien. Ik heb een MyBookLive (zonder internetverbinding) en die werkt nog perfect. Was zonde geweest als ik die door de laksheid (of het beleid) van WD weg had moeten gooien. Zonde voor mij, het milieu, maar inderdaad... niet voor hen.

En nogmaals: de meeste mensen zijn nou eenmaal geen Tweakers. Die kun je beter als overheid of fabrikant in bescherming nemen. Al is het maar voor de slechte PR die dit WD oplevert.

Verwijderd @barrymossel • 1 juli 2021 12:01

Is het laksheid van de fabrikanten? Met de ontwikkel cyclus in de IT, waar dit soort producten in het assortiment vrijwel 2 jaarlijks worden vervangen door nieuwer en sneller is het een significante kosten post als je voor alle producten 10 jaar kennis en (een) ontwikkelteam(s) in stand moet houden.

Jouw product heeft dan 10 jaar support en is flink duurder, we hebben het hier over consumenten producten, welke denk je dat die kopen? Het ondersteunde dure product of de goedkope van Banggood? (Hint: kijk eens naar de markt voor mobiele telefoons)

WD heeft een EoL bericht online gezet voor deze producten met de mededeling dat er geen updates meer komen. Geen idee of ze geregistreerde gebruikers ook per e-mail bericht hebben. Maar uit ervaring met registraties kan ik je vertellen dat 1. heel veel mensen registratie skippen en 2. heel veel mensen een oud e-mail adres gebruiken waar ze nooit meer naar kijken. Dan kan je mailen tot je erbij neervalt, maar je kan nooit alle gebruikers bereiken.

En als je registratie verplicht staat je telefoon rood gloeiend met mensen die boos zijn dat ze moeten registreren ... big brother ... waarom moet je dat allemaal weten. Je doet het sowieso nooit goed als software leverancier.

Verwijderd @Gamebuster • 30 juni 2021 13:02

De unit test die was geschreven om aan te tonen dat ze dat remote commando konden draaien werkte anders prima.

bussie66 @Gamebuster • 30 juni 2021 23:30

Testen doe je toch in produktie?

Gamebuster @bussie66 • 30 juni 2021 23:49

ja, door je gebruikers

obimk1 @Donool • 30 juni 2021 12:05

Euh

WTF?

Een Zeroday sinds 2011?

Dit is verder dan achterlijk.

Twilkie @obimk1 • 30 juni 2021 12:17

Het zit er sinds 2011 in, maar het is nu pas ontdekt.
Dus zeroday sinds 2011, klopt toch.

verstrooid_prof @obimk1 • 30 juni 2021 13:00

is "zero day" niet per definitie een bug die 0 dagen oud is, aka: waar nog geen fix voor beschikbaar is?

in dit geval is die fix er wel, maar heeft WD besloten hem niet te backporten naar deze oude versie van hun assortiment.

titel had dus moeten zijn "Hackers misbruikten reeds jaren gekende vulnerability die WD bewust niet wilde patchen"

McBacon @verstrooid_prof • 30 juni 2021 16:18

Niet helemaal, een zero-day vulnerability betekent dat belanghebbenden geen weet hebben dat deze bestaat. Als ze 10 jaar geen meldingen krijgen of fatsoenlijke tests uitvoeren waardoor ze hem niet ontdekken, dan is het technisch gezien nog steeds een zero-day. Dat ze er nu wel van weten maakt dat het geen zero-day meer is, maar dan nog is het de vraag of hij gefixt gaat worden. Zo niet, dan is dat (imo) gewoon nalatigheid van WD.

Ik denk dat je denkt aan een zero-day patch voor bijvoorbeeld games, die op de dag van release uitgebracht wordt. Da's heel wat anders. ;]

Jim80 @Donool • 30 juni 2021 12:04

De developer is daarna door WD ontslagen en meteen door Boeing aangenomen om de software voor de 737 max te ontwikkelen.
(uiteraard niet waar, maar hiermee wil ik maar aantonen hoe het hele IT gebeuren langzaam aan een grote grap is geworden. Kwaliteit is nog ver te zoeken, incompetentie is de nieuwe standaard)

RiDo78 @Donool • 30 juni 2021 15:43

Ach... dit verbaast me echt 0-komma-niks-komma-nada.

Die software van WD schijven is volgens mij altijd al troep geweest. Ik heb er ooit eens iets in een review over gezet: productreview: WD My Book World Edition 500GB review door RiDo78

Of je nu je data kwijt raakt door een firmware-reset of een defecte disk... Zeker als die disk gemakkelijk kapot kan gaan door oververhitting.

McBacon @Donool • 30 juni 2021 16:12

refactor van de authentificatielogica

Goeie refactoring, gewoon heel de logica weghalen.

Hetzelfde is ook gedaan voor de get function trouwens. Ik weet niet welke functies die API allemaal heeft, maar zou je dan niet een kopie kunnen maken van de disk? Nu is de code die je linkte wel specifiek de class voor factory resets, maar misschien hebben ze wel voor alle classes deze fuck-up gedaan? Dan heb je nog wel een groter probleem dan alleen een gewiste disk.

FReNsJ 30 juni 2021 11:28

Ik kreeg vanochtend deze e-mail van ze:

Western Digital
Our records indicate that you registered a My Book Live or My Book Live Duo device. To protect your data on the device from ongoing attacks, we recommend you disconnect your My Book Live and My Book Live Duo from the Internet and access your data locally by following these instructions on our Knowledge Base.

Western Digital has determined that some My Book Live and My Book Live Duo devices are being compromised through exploitation of a remote command execution vulnerability. In some cases, the attackers have triggered a factory reset that appears to erase all data on the device.

Our investigation of this incident has not uncovered any evidence that Western Digital cloud services, firmware update servers, or customer credentials were compromised. As the My Book Live devices can be directly exposed to the internet through port forwarding, the attackers may be able to discover vulnerable devices through port scanning.

We understand your data is very important. Some customers have reported that data recovery tools may be able to recover data from affected devices, and we are currently investigating the effectiveness of these tools.

We are continuing our investigation and will post the latest information about this incident on our Product Security Portal. For further assistance, you can contact our Customer Support team.

barrymossel @FReNsJ • 1 juli 2021 11:03

Ik vind de instructies waar ze naar verwijzen nou niet echt duidelijk. Zelf heb ik het apparaat in m'n router maar afgesloten van internet...

FReNsJ @barrymossel • 1 juli 2021 14:25

Ja, ik dénk dat de instructies waren: "unplug cable".

bombadil 30 juni 2021 11:23

Men moet ook terughoudend zijn met alles online te hangen. Je geeft hiermee meteen een grote beveiliging op. Ga dan maar meteen de cloud in zou ik zeggen..

Verwijderd @bombadil • 30 juni 2021 11:27

Ten dele mee eens.

Online/internet geeft ook heel veel nieuwe mogelijkheden. (op afstand je lampen aan of uitzetten zetten, van buitenaf je NAS benaderen om je eigen cloud te hebben). Men moet gewoon goed inlezen en goed bewust zijn van de beveiliging. Regelmatig updaten, goede wachtwoorden gebruiken, 2FA gebruiken waarnodig etc en niet zo laks zijn.

Iblies @Verwijderd • 30 juni 2021 12:19

Nou vraag ik me wel af waarom de normale consument “op afstand” zijn lichten moeten aanzetten.

https://zonsondergang.info/
Heb je het hele jaar en kun je met een relatief simpel systeem de tijden aanpassen met een deviatie van ongeveer 30 tot 45 minuten. Elke dag ongeveer dezelfde tijd valt ook op.

KISS,
keep it simple stupid.
Daar waar eenvoud kan worden toegepast, kun je het ook veiliger maken.

En met glasvezel is een thuisserver zoveel handiger,
maar houd het dan wel gescheiden. Ga niet een thuisserver opzetten waar en je e-mail opstaat, scala aan bestanden, maar waar je ook het licht van het toilet kunt bedienen en ook nog de koffieapparaat op staat aangesloten,
https://www.siemens-home....qfeatures=homeconnectable

fapkonijntje @Verwijderd • 30 juni 2021 11:31

Voor de situaties die jij omschrijft hoef je je NAS echt niet open en bloot aan 't internet te hangen. Dat kan allemaal via een vorm van gateways.

VPN naar je NAS zodat je alleen OpenVPN (ofzo) open hebt staan is al een mogelijkheid om je risico's flink te beperken. Je lampen van buitenaf bedienen kan via dezelfde VPN bridge. Maar wat Signify met Hue doet kan ook heel goed, dan ga je via hun 'portaal' en praat je Hue Bridge alleen met signify. Daar zit dan ook 2fa op, dus dat maakt de boel al wat minder risicovol.

Je admin paneeltje (zoals bij bijv. WD apparaten) hoort nooit van buitenaf benaderbaar te zijn. Hooguit een dienst hier en daar.

The Zep Man @bombadil • 30 juni 2021 11:27

Ga dan maar meteen de cloud in zou ik zeggen..

Op computers van anderen kan men ook oude, brakke software draaien.

Gooi het geheel achter een up-to-date en goed geconfigureerde VPN, als je per se oude software moet gebruiken. Dat werkt self-hosted en op de computers van anderen, mits je het zelf beheert en er controle over hebt (en dus verantwoordelijk bent).

[Reactie gewijzigd door The Zep Man op 25 juli 2024 21:24]

darknessblade @bombadil • 30 juni 2021 11:32

Helaas hebben veel mensen niet in de gaten dat de apparaten zo lek zijn als een vergiet.

Gezien het werkt en ze geen problemen hebben is het goed voor die lui

CyBeRSPiN 30 juni 2021 11:30

Dat zijn dan eigenlijk 2 serieuze problemen. Deze bug die mensen hun veilig geachte data wist.
Maar blijkbaar is die "factory reset" ook nog eens omkeerbaar. Dus als je een factory reset dacht te doen, bijvoorbeeld om de disk door te verkopen, dan is die data alsnog weer naar boven te halen?
Fijn dat dat in dit geval kan, maar je mag toch verwachten van een factory reset dat de disk grondig gewist wordt?

brinkdinges

@CyBeRSPiN • 30 juni 2021 11:58

Dat geldt voor alle harde schijven. Over het algemeen wordt bij een snelle wisactie alleen de tabel om bestanden terug te vinden gewist. Er wordt niks overschreven.

Daarom zijn er ook programma's die je hele schijf één tot tien keer overschrijven met random data of nulletjes. Dat duurt uren of dagen. Want zelfs na een keer overschrijven kun je soms nog data terughalen uit de magnetische gebiedjes op de schijf, wonderbaarlijk genoeg.

[Reactie gewijzigd door brinkdinges op 25 juli 2024 21:24]

DJMaze @CyBeRSPiN • 30 juni 2021 11:53

Een "factory reset" is eigenlijk altijd omkeerbaar met alle data dragers.
Als je alle data encrypt, en de sleutel verwijderen is de "factory reset", dan moet natuurlijk ook het geheugen (waar de sleutel was opgeslagen) worden overschreven met nullen.

Het probleem overal is dat laatste: overschrijven met nullen...

OxWax @CyBeRSPiN • 30 juni 2021 12:26

http://killdisk.com/killdisk-freeware.htm
https://eraser.heidi.ie/

[Reactie gewijzigd door OxWax op 25 juli 2024 21:24]

JaPPa03 30 juni 2021 11:25

Ben benieuwd naar het omruilprogramma

CAPSLOCK2000 30 juni 2021 11:53

Western Digital zegt dat de hackers achter de kwaadaardige software in My Book Live- en Live Duo-harde schijven, waardoor gebruikers van de schijven massaal hun data kwijtraakten bij het aansluiten op internet, een zeroday gebruikten en geen bug uit 2018.

Het begint een beetje en stokpaardje te worden maar het is verkeerd om de schuld helemaal op deze bug te schuiven. Die bug is de laatste in een hele serie aan dingen die mis zijn gegaan voor het zover kon komen, dat is een lijst zo lang als mijn arm.

Foutjes worden overal gemaakt en het uitschakelen van authenticatie is iets wat programmeurs regelmatig doen. Dat lijkt dus gewoon een menselijke fout van het soort waarvan je mag verwachten dat ze gemaakt worden.
Daarom moet je code eigenlijk altijd laten controleren door een andere programmeur.
Dat lijkt hier niet gedaan te zijn.

Voordat je een mens lastig valt met je werk laat je het eerst door de computer controleren, er zijn tal van tools om je daar mee te helpen.
Dat lijkt ook niet te zijn gedaan.

Omdat fouten zo veel voorkomen is het tegenwoordig 'best practice' om automatische tests te hebben om belangrijke functionaliteit te laten controleren.
Dat lijkt ook niet te zijn gedaan.

We zijn al jaren aan het uitleggen dat een simpel wachtwoord niet genoeg is maar dat je MFA nodig hebt.
Niet gedaan.

Dan de gebruikers/eigenaars. Die hangen zo'n ding blijkbaar direct aan internet zonder het verder af te schermen met bv een firewall. Gebruikers vertrouwen op de fabrikant maar dat vetrouwen is onterecht.

Dan kun je je nog afvragen of ik niet te hoge eisen stel aan een 10 jaar oud apparaat zonder ondersteuning. Nou nee, die apparaten hadden niet meer in gebruik moeten zijn en zeker niet direct aan internet hangen.

Dat er geen ondersteuning meer op zit is ook een probleem. De hardware werkt duidelijk nog prima. Deze apparaten werden (zeker) tot in 2015 verkocht. Je hoeft geen genie te zijn om te voorspellen dat ze nu nog in gebruik zouden zijn. Dan vind ik het onverantwoord van de fabrikant om de ondersteuning te stoppen. Zeker voor een systeem dat gemaakt is om direct aan internet te hangen.

Dat ieder apparaat z'n eigen custom software nodig heeft is ook deel van het probleem. Daardoor ben je helemaal afhankelijk van de fabrikant. Over het algemeen is het niet mogelijk om je eigen OS/applicaties te installeren op dit soort systemen. Ze worden geleverd als totaaloplossing.
Daar moet ik wel bijzeggen dat dit nu net de uitzondering is omdat je er wél een ander OS op kan zetten (openwrt), maar dat is zo ongebruikelijk dat de meeste mensen niet weten dat het uberhaupt een mogelijkheid is.

Zo kan ik nog wel even door gaan. We moeten stoppen met de programmeur als enige zondebok aan te wijzen als door een kleine fout een heel systeem open komt te liggen.

Voor de duidelijkheid: ik leg de schuld vooral bij de fabrikant, die moet producten verkopen die geschikt zijn voor de doelgroep, en daar hoort bij dat die doelgroep niet zelfstandig is. Het voelt nu vaak een beetje alsof we zware wapens verkopen aan kleine kinderen en dan verbaasd zijn dat er grote ongelukken gebeuren.
Maar de overheid neemt haar verantwoordelijkheid ook niet. Omdat veiligheid onzichtbaar is tot het fout gaat kunnen "goede" bedrijven hier eigenlijk niet in investeren omdat ze dan te duur worden in vergelijking met de cowboys die niks aan veiligheid doen.

[Reactie gewijzigd door CAPSLOCK2000 op 25 juli 2024 21:24]

TFHfony 30 juni 2021 11:30

Net eens even hier een kast open getrokken en inderdaad: Ik heb nog zo'n ding liggen.
Ik heb hem al jaren geleden van het netwerk afgehaald omdat hij traag was en er al lange tijd geen updates meer voor waren. Nou ja, dat wordt dan wellicht een gratis upgrade ;-)

PD2JK

30 juni 2021 11:30

Ik heb een tijd een Synology NAS gehad, maar deze had ik nooit direct aan het internet hangen, laat staan in een DMZ. Ook geen port-forwardings aangemaakt in de router, want ergens weet je dat het ooit fout kan gaan.
Toch zou ik eerder de Synology software vertrouwen dan WD, hoe is het met het updatebeleid gesteld bij hen?

Synology QuickConnect lijkt mij dan het meest veilig, als je per se vanaf elke locatie naar je NAS wil verbinden, hoewel dat ietwat beperkt is.

[Reactie gewijzigd door PD2JK op 25 juli 2024 21:24]

A!rtime 30 juni 2021 11:48

Mijn oplossing destijds demonteren die Live-Book en de schijf in een Synology plaatsen, problem solved

Op dit item kan niet meer gereageerd worden.

Lees meer

Reacties (82)

Sorteer op:

Weergave: