FTP maakt bedrijven kwetsbaar voor hackers en datalekken
Niet de Apple iPhone en sociale netwerken vormen een gevaar voor het bedrijfsnetwerk, maar het oude en vertrouwde FTP protocol zorgt ervoor dat hackers toegang krijgen of vertrouwelijke gegevens in verkeerde handen vallen, zo waarschuwen experts. Het FTP protocol wordt nog steeds binnen menig onderneming gebruikt, maar kent nauwelijks bescherming. Gebruikersnaam, wachtwoorden en ook de bestanden worden open en bloot verstuurd.
"FTP doet dingen die je vandaag de dag nooit in een protocol zou verwerken. Bij elke security audit is FTP een lek waar je naar zoekt", aldus John Pescatore, die denkt dat de meeste grote bedrijven FTP wel hebben dichtgezet. En dat blokkeren is belangrijk, omdat er genoeg tools zijn om de eenvoudige kantoor PC in een FTP server te veranderen.
"Het is erg eenvoudig om een FTP applicatie te downloaden en aan je vrienden of zakelijke partners het adres door te geven. Er is geen manier om deze overdrachten te controleren en er is niets tijdens het proces om je bedrijf te beschermen", gaat Taher Elgamal van TumbleWeed verder.
Volgens Bill Nagel vindt 80% van alle datalekken binnen het bedrijf plaats. Doordat bedrijven meer gegevens voor een langere periode bewaren, zijn er ook meer gegevens die kunnen lekken. "In 33% van de datalekken weten mensen wat ze deden niet mocht, maar maakte het hun leven eenvoudiger."
perimeter defense gehoord. Een uitspraak als onderstaande is te
lachwekkend voor woorden, en in het geheel niet serieus te nemen :
"Het is erg eenvoudig om een FTP applicatie te downloaden en aan je
vrienden of zakelijke partners het adres door te geven. Er is geen manier
om deze overdrachten te controleren en er is niets tijdens het proces om
je bedrijf te beschermen"
gewoon klakkeloos gevoelige informatie op hun FTP met b.v.
als username/password de bedrijfs naam of afdeling
vertegenwoordigen ze het stenentijdperk.
gewoon klakkeloos gevoelige informatie op hun FTP met b.v.
als username/password de bedrijfs naam of afdeling"
Klopt, maar ben je een beveligingsexpert wanneer je vervolgens stelt dat
er geen manier is om jezelf te beschermen tegen logins door "vrienden of
zakelijke partners" ?
De analyse van het probleem mag kloppen, maar verder stelt zijn uitleg
niets voor, alsof de FTP login de first line of defense is, en je geen ACL's
en andere zaken kunt implementeren om toegang tot zo'n machine van
buitenaf te beperken, zodat alleen geautoriseerde hosts deze kunnen
benaderen. Daarnaast is het natuurlijk van belang om op systeem-level te
zorgen voor een betere security.
Zelfs bij de grootte jongens...
kale FTP server neerzetten, maar iedereen is het er over eens dat dat niet
veilig is. Als alternatief kun je een SFTP of FTPS server neerzetten waar
iedereen bij kan. Dan is wel het communicatiekanaal versleuteld, maar
heb je nog steeds een authenticatievraagstuk (username/password, wat
per definitie niet veilig is). Als oplossing kun je verschillende maatregelen
nemen door FTP bijvoorbeeld via telewerkfunctionaliteit (SSL VPN of IPsec
VPN) ter beschikking te stellen. Daar kun je dan sterke authenticatie op
zetten en kun je FTP op een serieuze manier gebruiken. Wel blijven er altijd
restrisico's, zoals trojans op werkplekken die de informatie alsnog
ontsluiten naar kwaadwillenden.
--Corné
zijn uitleg
niets voor, alsof de FTP login de first line of defense is,
en je geen ACL's
en andere zaken kunt implementeren om toegang tot zo'n
machine van
buitenaf te beperken, zodat alleen geautoriseerde hosts deze
kunnen
benaderen. Daarnaast is het natuurlijk van belang om op
systeem-level te
zorgen voor een betere security."
Tuurlijk ben het ook niet met de uitleg eens , maar het
probleem is zeker aanwezig
Off-topic: mijn reacties worden elke keer te laat geplaatst
, de vorige reactie was daarom ook geen antwoord op "Anoniem
op woensdag 21 november 2007 12:26"
Meneer Elgamal heeft zeker nog nooit van firewalls en andersoortige
perimeter defense gehoord. Een uitspraak als onderstaande is te
lachwekkend voor woorden, en in het geheel niet serieus te nemen :
"Het is erg eenvoudig om een FTP applicatie te downloaden en aan
je
vrienden of zakelijke partners het adres door te geven. Er is geen manier
om deze overdrachten te controleren en er is niets tijdens het proces om
je bedrijf te beschermen"
hoppa FTP over poort 80.
maar de problemen die men noemt heeft helemaal niks met het
protocol te maken maar met de gebruiker. In dat opzicht is
HTTP net zo onveilig als men in plaats van een FTP server
een HTTP server installeert om bestanden uit te wisselen..
Na 10 jaar onderzoek door B. Laaskaak van beveiligingsbedrijf Wijnaaienu
is dit belangwekkende feit op een druk bezochte persconferentie
wereldkundig gemaakt.
In al de andere lagen is het mogelijk om wat aan de
toegankelijkheid te doen.
In FTP kan men disk access beperken en accounting uitvoeren
waarvoor userid en password en dus niet per definitie de
veiligheid.
je kunt b.v. FTP alleen toegang geven aan encryped bestanden.
Dit hoort allemaal bij het opzetten van een FTP server.
FTP weghalen lijkt me niet goed .
Het is nog steeds de enige goede tool tussen ALLE
operatingsystems dus, ALLE...oud, nieuw, vreemde
archtekturen etc etc
FTP is een applicatie.....Laag 7
In al de andere lagen is het mogelijk om wat aan de
toegankelijkheid te doen.
In FTP kan men disk access beperken en accounting uitvoeren
waarvoor userid en password en dus niet per definitie de
veiligheid.
je kunt b.v. FTP alleen toegang geven aan encryped bestanden.
Dit hoort allemaal bij het opzetten van een FTP server.
FTP weghalen lijkt me niet goed .
Het is nog steeds de enige goede tool tussen ALLE
operatingsystems dus, ALLE...oud, nieuw, vreemde
archtekturen etc etc
FTP is een applicatie....laag 7....??? Is het OSI model
recentelijk veranderd?
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
