image

'21.000 Nederlandse FTP-servers onbeveiligd'

zondag 11 mei 2014, 21:46 door Redactie, 24 reacties

In Nederland zijn 21.000 onbeveiligde FTP-servers op het internet aangesloten die eenvoudig via een zoekmachine gevonden kunnen worden. In sommige gevallen bevatten deze FTP-servers ook persoonlijke gegevens, zo liet het radioprogramma Reporter vanavond weten.

Via FTP-servers is het mogelijk om allerlei bestanden op te slaan. Veel servers blijken echter geen of een standaard wachtwoord te gebruiken, waardoor iedereen op de server kan inloggen en toegang tot de bestanden kan krijgen. Sommige van deze bestanden bevatten gebruikersnamen en wachtwoorden, scans van rijbewijzen en paspoorten, salarisadministratie en andere privégegevens.

Het gaat zowel om FTP-servers van bedrijven als consumenten. Veel consumenten zouden niet weten dat de apparaten die ze bijvoorbeeld voor het maken van back-ups gebruiken een FTP-server draaien en daardoor via FTP voor het internet toegankelijk zijn, maar ook bedrijven hebben het vaak niet door.

ICT-bedrijf

In de uitzending van Reporter wordt een ICT-bedrijf met een openstaande FTP-server geconfronteerd. Op de server staat de administratie van het bedrijf, waaronder paspoorten, pincodelijst, een ontslagbrief en leasecontracten. De informatie stond thuis zonder wachtwoord opgeslagen. De eigenaar van het ICT-bedrijf was zich er niet van bewust dat de informatie voor iedereen toegankelijk was.

"Je staat er niet bij stil dat dit soort lekken er zijn", laat de man weten. Hij vindt dat fabrikanten gebruikers beter moeten waarschuwen. "Er zou eigenlijk een soort van bijsluiter bij moeten van let op", aldus de eigenaar over zijn server. "Je ging ervan uit dat die dicht stond."

Reacties (24)
11-05-2014, 22:14 door Anoniem
Was een tijdje terug ook al in zembla ofzo, maar goed daar leren ze niet van.
12-05-2014, 07:53 door Anoniem
Domme eigenaar van ICT bedrijf. Domme bedrijven met deze onbeveiligde FTP servers. Ik hoop dat ze allemaal een flinke draai om de oren krijgen.
12-05-2014, 08:30 door Anoniem
Wat een reactie van die man.. "Deze lekken"? Wat een prutser.. De eigenaar van het bedrijf nog wel.
Ook stom van hem om dit publiekelijk te zeggen, het staat erg onprofessioneel.
12-05-2014, 08:32 door Arie1980
weer een gevalletje shodan, maar wel treurig dat een ICT bedrijf hun zaakjes zo slecht op orde heeft.
12-05-2014, 08:42 door [Account Verwijderd]
[Verwijderd]
12-05-2014, 08:48 door Mysterio
Door Ubuntu: bekendt verhaal / probleem.

tijdje geleden een docu gezien die precies hetzelfde melde,

mensen sluiten een server aan op internet, en gaan er vervolgens van uit dat de zaak beveiligt is
admin/admin of admin/12345 is de meest gebruikte combo
Als het thuisgebruikers betreft kan ik daar nog inkomen. Maar bedrijven moeten beter weten, zeker als het gaat om persoonsgegevens.
12-05-2014, 08:51 door Anoniem
Ik heb de sterke indruk dat het hier in de meeste gevallen niet over volwaardige servers gaat maar over NAS achtige oplossingen. Consumenten elektronica dus en geen volwaardige professionele spullen.
En van consumenten elektronica acht ik inmiddels wel bekend dat alles standaard AAN staat of na lange tijd nog steeds is voorzien van het default wachtwoord. Dat was met de WiFi routers al zo en zal dus met de NAS achtige oplossing niet anders zijn.
12-05-2014, 09:11 door Anoniem
De eigenaar van het ICT-bedrijf was zich er niet van bewust dat de informatie voor iedereen toegankelijk was.
"Je staat er niet bij stil dat dit soort lekken er zijn", laat de man weten. Hij vindt dat fabrikanten gebruikers beter moeten waarschuwen. "Er zou eigenlijk een soort van bijsluiter bij moeten van let op", aldus de eigenaar over zijn server. "Je ging ervan uit dat die dicht stond."

Stop ermee, Bol het af.
Ik weet een prima waarschuwende bijsluiter:

WAARSCHUWING: Niet voor INCAPABELE hipster nerds.
12-05-2014, 09:42 door [Account Verwijderd]
[Verwijderd]
12-05-2014, 09:51 door [Account Verwijderd]
[Verwijderd]
12-05-2014, 09:51 door Anoniem
Je moet nooit poort 21 openzetten naar Internet. Dit is 2014, tegenwoordig gebruiken we encryptie, dat wil zeggen dat je er een SSH2 verbinding opzet en dat poort 21 alleen op 127.0.0.1 open staat. Daar kun je specifiek toestemming voor geven op de server, op de client zet je forwarding aan.
12-05-2014, 10:01 door Anoniem
FTP is onveilig by design: het is een onversleuteld protocol. Dus hoe je het ook dichttimmert met ingewikkelde wachtwoorden: de wacthwoorden en data gaan oonversleuteld dus leesbaar over internet.
Tenzij je FTPS gebruikt...
12-05-2014, 10:02 door [Account Verwijderd] - Bijgewerkt: 12-05-2014, 10:03
[Verwijderd]
12-05-2014, 10:09 door Anoniem
FTP bestond al ruim vóór WWW, Gopher en Archie. (De laatste twee zijn weggevaagd en vergeten door WWW+Google). Nu is het een scoop van Reporter dat het ruim 30 jaar oude protocol gevaarlijk kan zijn? Iedere gebruiker weet dat een anonymous FTP site per definitie open staat voor de wereld, en dat een normaal persoon er dus geen gevoelige informatie op zet (en dat sites met gevoelige info benaderd worden met SFTP). Waarom maakt Reporter geen reportage over gaskranen? Ze zijn gevaarlijk als ze open staan en een normaal persoon steekt er dus geen lucifer bij af. Is dit geen scoop voor Reporter?
12-05-2014, 10:29 door Anoniem
Door exit: Misschien wordt het tijd om hoge boetes te stellen voor elk bedrijf wat zijn servers niet goed beveiligd heeft.
Als mijn voordeurslot van slechte kwaliteit is keert de verzekering ook niets uit bij inbraak.

Ja, maar je hebt geen robots in huis die geheel zelfstandig en zonder jouw toestemming op zoek gaan naar je voordeur en die openzetten zodat ze contact kunnen hebben met de buitenwereld.

Veel apparaten die je aansluit op je netwerk benaderen zelfstandig via UPnP (of NAT-PMP) je router en zetten zonder expliciete toestemming de firewall open en een port forwarding op. De enige manier om dat onder controle te krijgen is UPnP op je router uit te zetten, maar dat doet een doorsnee gebruiker uiteraard niet.
12-05-2014, 10:50 door Anoniem
Versleutel de DATA voor dat je het naar een FTP site verstuurt. Dan blijft het veilig tijdens en ook na het transport. Ik gebruik SecureZIP daarvoor.
12-05-2014, 11:09 door Anoniem
Door exit: Misschien wordt het tijd om hoge boetes te stellen voor elk bedrijf wat zijn servers niet goed beveiligd heeft.
Als mijn voordeurslot van slechte kwaliteit is keert de verzekering ook niets uit bij inbraak.

Klopt maar ze zullen je ook geen boete geven.
Dus die vergelijking gaat niet op.
Volgens mij zijn er al organen die dit soort zaken in de gaten houden (CBP?) dus om te zeggen dat iemand die zijn FTP server open zet (zonder het te weten) waar niks te halen valt en daarom maar een hoge boete moet krijgen lijkt mij iets te kort door de bocht.
Nuances...daar draait het om.
12-05-2014, 12:02 door Anoniem
Even nuanceren, FTP is bedoeld voor publieke toegang, dus hoeveel servers missen daadwerkelijk beveiliging?
En op hoeveel onbeveiligde FTP-servers kan er daadwerkelijk data aangepast / geplaatst worden?


Door Anoniem: Nu is het een scoop van Reporter dat het ruim 30 jaar oude protocol gevaarlijk kan zijn?
Dit (en een aantal hierboven vermelde andere zaken als encryptie / FTPS, directeur ICT bedrijf = data thuis op NAS?, etc.) viel mij ook al op.

Het enige wat ik over Reporter kan zeggen is dat het een programma is voor consumenten op de zondagavond, niet voor de security-professional op maandagochtend. De gemiddelde IT'ert zou sowieso beter moeten weten, de gemiddelde consument informeert zich niet veel beter dan via de buren en een "Ik ben toch niet gek! + kopen! kopen! kopen!" -reclameblok oid.

Voor veel mensen -hoe triest dat ook mag klinken- is dit wel degelijk 'nieuws.'


Door Ubuntu: ikzelf heb ... port 21 en 22 open
Trol- of kabouter-plop-opmerking?
12-05-2014, 12:14 door Briolet - Bijgewerkt: 12-05-2014, 12:14
Door Anoniem: Was een tijdje terug ook al in zembla ofzo, maar goed daar leren ze niet van.

Nee, dat was geen Zembla maar de TV uitzending van KRO reporter in december 2012. Dus Reporter valt hier in herhaling met oud nieuws. Die uitzending was zelfs veel leerzamer en beter opgezet.

Het betreft hier idd nas servers waarbij sommige merken, per default, hun inhoud op het internet gooien via de UPnP functie van de router.

Dus: altijd de UPnP functie van een router uit zetten. Forwards doe je bewust met de hand en niet ongemerkt via een automatische functie.

Jammer van de info op het journaal van gisteravond, want daar kreeg je de indruk dat om professionele ftp servers ging en niet van die thuisgevalletjes die door ondeskundigen ingesteld worden. Hoewel er in de uitzending van december 2012 ook een IT specialist van Orange tussen zat die bedrijfs info van klanten op zo'n zelf publicerende nas gezet had. (Zou die inmiddels ontslagen zijn na deze flater?)
12-05-2014, 12:23 door Anoniem
Yup, niet geconfigureerde webservers met standaard admin accounts, openstaande FTP en/of NETBIOS diensten. De NAS komt naar u toe deze zomer :).
12-05-2014, 13:01 door Anoniem
Externe schijven
De kern van het probleem zijn externe harde schijven. Voor veel mensen en bedrijven zijn ze een uitkomst. Je sluit ze via usb aan op de computer en plots is er extra ruimte om documenten op te slaan of om back-ups te maken. Duurdere externe schijven kun je niet alleen via usb, maar ook via wifi bereiken. We noemen ze dan netwerkschijven. Geen gedoe meer met kabels. Je kunt zulke netwerkschijven zelfs bereikbaar maken via internet. Handig als je niet thuis bent, maar toch een bestand nodig hebt. Je kunt de toegang beveiligen met een wachtwoord. Dit is waar het misgaat: duizenden mensen hebben dat niet gedaan, waardoor hun netwerkschijf voor iedereen toegankelijk is via internet. Vaak hebben ze dat niet eens door.

Het probleem is niet nieuw. Al veel langer is bekend dat mensen per ongeluk bestanden op internet delen zonder een wachtwoord in te stellen. Schokkend is vooral dat het probleem nog altijd bestaat.
12-05-2014, 13:05 door Anoniem
www.searchftps.com
12-05-2014, 14:01 door [Account Verwijderd]
[Verwijderd]
13-05-2014, 08:08 door Anoniem
pffff, lachen, in de 80's was het al een eitje om via FTP data binnen te trekken, ging wel langzaam (akoestisch modem) maar toch.
Nu in 2014 hebben we dus niets geleerd....
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.