Meer dan 13.500 internetgekoppelde opslagapparaten zijn online blootgesteld door gebruikers die er geen toegangswachtwoorden voor konden instellen, bleek vorige week.

De getroffen schijven maken allemaal gebruik van de Internet Small Computer Systems Interface (iSCSI), een implementatie van de oudere SCSI-interface die schijfstations rechtstreeks met computers verbond.

iSCSI, dat in 2000 werd gestandaardiseerd, stelde dat protocol in staat om via IP-verbindingen te werken, zodat apparaten verbinding konden maken met stations via lokale netwerken, of wide-area-verbindingen inclusief het algemene internet.

Tegenwoordig gebruiken mensen iSCSI om verbinding te maken met een reeks apparaten, waaronder het soort netwerkgekoppelde opslag (NAS) -stations dat u zou vinden in een klein kantoor, en grotere banken van netwerkopslagapparaten in datacenters.

iSCSI is ook een veelgebruikte manier voor computers om verbinding te maken met virtuele machines (VM’s). Dit zijn softwarebestanden met complete besturingssystemen die op een dunne laag software draaien in plaats van direct op een fysieke server, waardoor het mogelijk is om veel van deze programma’s tegelijk op één computer uit te voeren. VM’s vormen de basis voor moderne cloud computing, die volledig afhankelijk is van gevirtualiseerde resources.

Hier is het probleem met dingen op internet plaatsen: ze zijn meestal gemakkelijk te vinden en te verbinden. Als u zoiets als een iSCSI-apparaat online zet en vervolgens niet beveiligt met inloggegevens, betekent dit dat het voor iedereen toegankelijk is.

Een cybersecurity-onderzoeker die de naam A Shadow gebruikte, ontdekte dit en publiceerde het op zaterdag 30 maart 2019:

 

Ze vonden meer dan 13.500 van deze iSCSI-apparaten online, beschikbaar voor iedereen om toegang te krijgen tot de gegevens die ze in hun bezit hadden. Dit geeft iedereen die met succes verbinding maakt met een schijf volledige vrijheid om de inhoud te downloaden, te verwijderen of te wijzigen om malware in te voegen.

Veel van deze iSCSI-adressen waren eigendom van privébedrijven, voegde de onderzoeker eraan toe, waardoor ze de belangrijkste doelen voor cybercriminelen zijn.

ZDNet heeft de bevindingen van A Shadow geverifieerd door te zoeken naar onbeschermde iSCSI-apparaten op de IoT-zoekmachine Shodan. Het vond blootgestelde apparaten van verschillende organisaties, waaronder een afdeling van een YMCA, een Russische overheidsinstantie en verschillende universiteiten en onderzoeksinstituten.

Dit is niet zozeer een probleem met het iSCSI-protocol als met de implementatie ervan.

De gebruikers die deze apparaten installeren, moeten zich inspannen om ze te beveiligen, hoewel ze in veel gevallen niet weten dat dit moet gebeuren.

Dit is waar de tweede verdedigingslinie binnen zou kunnen komen. Makers van iSCSI-apparaten zouden gebruikers kunnen dwingen om wachtwoorden te configureren voordat ze met een netwerk kunnen verbinden, of beter nog om de apparaten met individuele wachtwoorden uit de doos te configureren.

Californië’s onlangs aangenomen IoT-cybersecurity-factuur, SB-327, dwingt precies zo’n maatregel af. Het zal interessant zijn om te zien of het enig effect heeft op het stoppen van massale blootstelling zoals deze.