Man kann es in diversen Medien lesen: Netzwerkfestplatten von Western Digital wurden aus der Ferne zurückgesetzt. Zuerst wurde vermutet, die Server von Western Digital seien gehackt worden und die Geräte mit Cloud-Funktionalität würden so den Befehl zur Löschung erhalten. Aber wie im Forum von Western Digital zu lesen ist, betrifft das auch Geräte, bei denen die Cloud-Funktion nicht aktiviert wurde. Was ist passiert?
Wie es aussieht, wurde direkt auf die Geräte zugegriffen und es wurde ein zwei Jahre alter Bug ausgenutzt, welcher Root-Zugriff ohne Authentifizierung ermöglicht. Im Forum haben einige Benutzer die Daten der gelöschten Geräte teilweise wieder herstellen können und haben darauf Spuren früherer Angriffe gefunden. Damals wurde eine ausführbare Datei heruntergeladen und ausgeführt.
Was passiert sein könnte: die Geräte waren schon länger Teil eines Botnetzes. Dann hat sich entweder der Betreiber des Netzes oder ein "Konkurrent" entschlossen, die Geräte aus dem Verkehr zu ziehen und hat innert weniger Tage einen Rücksetzbefehl abgeschickt.
So weit, so logisch. Man betreibt auch keine Geräte mit bekannten Sicherheitslücken öffentlich zugänglich im Internet. Aber viele Benutzer beteuern, weder die Cloud-Funktionalität aktiviert noch auf ihrem Router Ports auf das Gerät weitergeleitet zu haben.
Das Problem ist UPnP, genauer UPnP IGD. Das ist ein Protokoll, womit Geräte oder Anwendungen selbstständig Portweiterleitungen auf dem Router anfordern können. Wenn man ein Spiel online spielen will, läuft das einfach, man muss nicht die Ports X und Y auf dem Router weiterleiten.
Leider macht man so auch Geräte aus dem Internet zugänglich, die nicht erreichbar sein sollen. Die betroffenen My-Book-Geräte haben genau das getan. Die Benutzer gingen davon aus, dass sie nur intern erreichbar sind, haben deshalb vielleicht auch keinen grossen Wert auf sichere Passwörter gelegt, vertrauliche Informationen unverschlüsselt abgespeichert etc., dabei waren die Geräte aus dem Internet zugänglich und über entsprechende Suchmaschinen auffindbar.
Deshalb sollte man die UPnP-Einstellung am Router prüfen und ggf. deaktivieren. Bei der Internet Box 3 sollte es standardmässig deaktiviert sein (bei älteren Geräten war es standardmässig aktiv). Bei der UPC Connect Box ist es standardmässig aktiv. Der Centro Business unterstützt als Business-Gerät kein UPnP.
Da die Einstellung durch Fernzugriffe / Updates wieder aktiv werden könnte, ist der Einsatz einer Firewall empfehlenswert. Auf diese hat der Internetprovider keinen Zugriff.
Setzt man ein Gerät nur lokal ein, kann man ihm eine fixe IP-Adresse geben und das Standard Gateway leer lassen. So kommt das Gerät nicht ins Internet und man kommt vom Internet garantiert nicht auf das Gerät. Leider funktionieren so aber nützliche Funktionen wie ein Firmware-Update über das Internet nicht.