VVD stelt Kamervragen over onbeveiligde FTP-servers
De VVD heeft staatssecretaris Teeven van Veiligheid en Justitie Kamervragen gesteld over een recente uitzending van het Radio 1-programma Reporter waaruit bleek dat er 21.000 onbeveiligde FTP-servers in Nederland zijn. In sommige gevallen bleken de FTP-servers gevoelige en persoonlijke informatie te bevatten, zoals wachtwoorden, scans van rijbewijzen en paspoorten, salarisadministratie en andere privégegevens.
VVD-Kamerleden Oosten en Dijkhoff willen van Teeven weten of er gevallen bekend zijn waarbij gegevens van slecht beveiligde FTP-servers zijn misbruikt. Ook vragen ze welke (juridische) waarborgen er zijn om de privacygegevens van burgers op FTP-servers te beschermen.
Verder moet Teeven antwoord geven op de vraag welke maatregelen het ministerie en het Nationaal Cyber Security Centrum nemen om burgers en bedrijven tegen misbruik van slecht beveiligde FTP-servers te beschermen en welke verantwoordelijkheden burgers zelf hebben om hardware en software veilig in te richten. De vragen zouden binnen drie weken beantwoord moeten worden.
Reacties (17)
Er zijn dus mensen die iets met Internet doen, maar niet weten hoe ze het goed en veilig moeten doen. Goed dat dit soort dingen bekend gemaakt worden doordat er op gescanned wordt. Alleen jammer dat er mensen zijn die het niet begrijpen en dan willen weten wat ze tegen scannen kunnen doen, zie het artikel over "iets tegen een portscan doen" ( https://www.security.nl/posting/387153/Juridische+vraag%3A+wat+kan+ik+juridisch+tegen+portscans+doen%3F )
Heb het televeeprogramma niet gezien dus weet niet hoeveel sensatie en hoeveel feit erinzat. Dat er nogal een boel onbeveiligd rondslingert, al dan niet op ftp servers, dat verbaast niet: Teveel mensen doen maar wat en hebben geen idee waar ze mee bezig zijn. En je eigen servertjes van buitenaf benaderen om te kijken hoeveel toegang een willekeurige bezoeker heeft gebeurt ook al nauwlijks.
Waarom echter de vvd verwacht dat fredje t. er iets zinnigs over kan zeggen ontgaat me een beetje. Willen ze nou dat de nasjonale siebersekjoeritieambtenaren naar open ftpservers gaan scannen? Is dat wat we willen?
Wat me vooral tegenstaat, en niet zozeer bij specifiek deze kamervragen maar bij zowat alles wat de polletiek doet tegenwoordig, is dat het niveau nogal diep gezakt is, en compleet gedreven door wat er gisteren op de kijkbuis te zien was of eventueel over twittar of de nieuwe hyves vloog. Een landsbestuur onwaardig. Het resultaat is dan ook dat wij een onwaardig landsbestuur hebben.
Waarom echter de vvd verwacht dat fredje t. er iets zinnigs over kan zeggen ontgaat me een beetje. Willen ze nou dat de nasjonale siebersekjoeritieambtenaren naar open ftpservers gaan scannen? Is dat wat we willen?
Wat me vooral tegenstaat, en niet zozeer bij specifiek deze kamervragen maar bij zowat alles wat de polletiek doet tegenwoordig, is dat het niveau nogal diep gezakt is, en compleet gedreven door wat er gisteren op de kijkbuis te zien was of eventueel over twittar of de nieuwe hyves vloog. Een landsbestuur onwaardig. Het resultaat is dan ook dat wij een onwaardig landsbestuur hebben.
15-05-2014, 11:04 door
Profeet
Kansloos.....
Werkelijk?!, en jij zit in de 2e kamer? Welke waarborgen zijn er bij diefstal van privacygegevens? Welke waarborgen zijn er wanneer een burger zijn privacygegevens zelf in de krant zet? Volgens mij zijn dit toch vrij simpele vragen die echt niet anders worden omdat het nu om digitale zaken gaat. Of vergis ik me nu Arnoud ;)
Welke (juridische) waarborgen zijn er om de privacygegevens van burgers op ftp-servers te
beschermen?
beschermen?
Werkelijk?!, en jij zit in de 2e kamer? Welke waarborgen zijn er bij diefstal van privacygegevens? Welke waarborgen zijn er wanneer een burger zijn privacygegevens zelf in de krant zet? Volgens mij zijn dit toch vrij simpele vragen die echt niet anders worden omdat het nu om digitale zaken gaat. Of vergis ik me nu Arnoud ;)
15-05-2014, 11:33 door
[Account Verwijderd]
[Verwijderd]
15-05-2014, 12:05 door
Profeet
Door Ubuntu: hoe komt iemand aan die 21000 servers?
waarschijnlijk gewoon een scanhub, of ze hebben zelf een portscan gedaan.
15-05-2014, 12:16 door
Mysterio
Door Anoniem: Er zijn dus mensen die iets met Internet doen, maar niet weten hoe ze het goed en veilig moeten doen.(..)
Ok, er zijn dus consumenten die geen idee hebben. Goed, dat is niets nieuws, want Facebook leeft ervan. Daarnaast zijn er bedrijven en instellingen die blijkbaar ook geen idee hebben. Dat is echter wel verwijtbaar want iedere instantie/bedrijf wat werkt met persoonsgegevens heeft zich te houden aan de bijbehorende regelgeving en richtlijnen. De boel op een FTP server laten staan is zeker niet in die lijn.Het gaat in een groot aantal gevallen over FTP servers die op privé NAS servers bij mensen thuis draaien en die niet of nauwelijks door de eigenaar zijn beveligd. Alsof je de voordeur open laat staan of een touwtje uit de brievenbus laat hangen.
Met een beetje geluk komt de wijkagent een keer poolshoogte nemen en je waarschuwen, als het al niet te laat is. Dus Fred T. is binnenkort onze cyber wijkagent die iedereen mag aanschrijven. 't Is wel te hopen dat ie zijn mail goed opstelt anders wordt ie ook nog eens als spammer gekenmerkt.
Kansloos dus...
Met een beetje geluk komt de wijkagent een keer poolshoogte nemen en je waarschuwen, als het al niet te laat is. Dus Fred T. is binnenkort onze cyber wijkagent die iedereen mag aanschrijven. 't Is wel te hopen dat ie zijn mail goed opstelt anders wordt ie ook nog eens als spammer gekenmerkt.
Kansloos dus...
Ik pleit al langer voor een vast boetetarief van €1,- per gelekt / foutief gebruikt gegevens-veld (naam, adres, telefoonnummer, aangeschaft product, etc.). Winstoogmerk of niet, consument, overheid of organisatie, alles gelijktrekken en hard bestraffen.
Enige uitzondering die ik kan bedenken zijn de zogenaamde hacks en daaruit voortvloeiende publicatie van gestolen gegevens, die mogen samsam betaald worden wat mij betreft (50% slachtoffer, 50% hakselaar).
En alle boetes gelijk overmaken naar het CPB e.d. ipv het spekken van de overheidskas natuurlijk, anders krijg je alsnog klasse-justitie binnen de overheid zelf.
Enige uitzondering die ik kan bedenken zijn de zogenaamde hacks en daaruit voortvloeiende publicatie van gestolen gegevens, die mogen samsam betaald worden wat mij betreft (50% slachtoffer, 50% hakselaar).
En alle boetes gelijk overmaken naar het CPB e.d. ipv het spekken van de overheidskas natuurlijk, anders krijg je alsnog klasse-justitie binnen de overheid zelf.
15-05-2014, 14:06 door
[Account Verwijderd]
[Verwijderd]
Door Ubuntu:
mijn FTP server is beveiligt
a- met een strenge config file
b- met fail2ban, na drie keer een verkeerd username/pass wordt de aanvaller geblokd voor 3 uur
c- laatste versie van de ftpserver icm clamav, virussen uploaden is kansloos
d- documenten staan er niet op, die staat op de hoofd pc.
het enige wat ze kunnen meenemen zijn mp3 en films
ssh staat op PermitRootLogin = NO, dus een evetuele geluksvogel kan mijn systeem niet verkloten
ftp users zijn trouwens virtueel icm mysql
Je hebt het over ftp een daarna over ssh.Door Anoniem: Het gaat in een groot aantal gevallen over FTP servers die op privé NAS servers bij mensen thuis draaien en die niet of nauwelijks door de eigenaar zijn beveligd. Alsof je de voordeur open laat staan of een touwtje uit de brievenbus laat hangen.
Met een beetje geluk komt de wijkagent een keer poolshoogte nemen en je waarschuwen, als het al niet te laat is. Dus Fred T. is binnenkort onze cyber wijkagent die iedereen mag aanschrijven. 't Is wel te hopen dat ie zijn mail goed opstelt anders wordt ie ook nog eens als spammer gekenmerkt.
Kansloos dus...
Met een beetje geluk komt de wijkagent een keer poolshoogte nemen en je waarschuwen, als het al niet te laat is. Dus Fred T. is binnenkort onze cyber wijkagent die iedereen mag aanschrijven. 't Is wel te hopen dat ie zijn mail goed opstelt anders wordt ie ook nog eens als spammer gekenmerkt.
Kansloos dus...
mijn FTP server is beveiligt
a- met een strenge config file
b- met fail2ban, na drie keer een verkeerd username/pass wordt de aanvaller geblokd voor 3 uur
c- laatste versie van de ftpserver icm clamav, virussen uploaden is kansloos
d- documenten staan er niet op, die staat op de hoofd pc.
het enige wat ze kunnen meenemen zijn mp3 en films
ssh staat op PermitRootLogin = NO, dus een evetuele geluksvogel kan mijn systeem niet verkloten
ftp users zijn trouwens virtueel icm mysql
Heb je wel een FTP server of bedoel je een SFTP server?
Met FTP servers gaat alles onbeveiligd het internet over.
Maar verder bedankt voor je informatie...
15-05-2014, 18:35 door
[Account Verwijderd]
-
Bijgewerkt: 15-05-2014, 18:35
[Verwijderd]
Brandpunt heeft het hier in 2012 ook al over gehad.
Brandpunt reporter Zo lek als een mandje
http://www.uitzendinggemist.nl/afleveringen/1311089
Brandpunt reporter Zo lek als een mandje
http://www.uitzendinggemist.nl/afleveringen/1311089
15-05-2014, 21:45 door
AapNootMies
[Verwijderd]
16-05-2014, 00:13 door
Eric-Jan H te D
Door Ubuntu:........ het enige wat ze kunnen meenemen zijn mp3 en films
ssh staat op PermitRootLogin = NO, dus een evetuele geluksvogel kan mijn systeem niet verkloten ......
l
ssh staat op PermitRootLogin = NO, dus een evetuele geluksvogel kan mijn systeem niet verkloten ......
l
Wel even sportief zijn en het internetadres van je FTP-server vermelde ;-)
Andere twist:
Er zijn 21.000 FTP-servers gevonden met anonymous access. Vrij standaard gebruik.
Echter staat daar kennelijk ook gevoelige data op door verkeerde inrichting van de sysadmin.
Hoe ik mijn FTP heb ingericht? Ik heb 'm offline gehaald. FTP is echt niet meer van deze tijd.
User/pass uncrypted over de wire en het is een firewall nightmare. Er zijn voldoende alternatieven.
Er zijn 21.000 FTP-servers gevonden met anonymous access. Vrij standaard gebruik.
Echter staat daar kennelijk ook gevoelige data op door verkeerde inrichting van de sysadmin.
Hoe ik mijn FTP heb ingericht? Ik heb 'm offline gehaald. FTP is echt niet meer van deze tijd.
User/pass uncrypted over de wire en het is een firewall nightmare. Er zijn voldoende alternatieven.
Door Anoniem: Hoe ik mijn FTP heb ingericht? Ik heb 'm offline gehaald. FTP is echt niet meer van deze tijd.
Oh zeur toch niet. FTP is prima voor anonieme toegang. Meer fabrikanten zouden bijvoorbeeld gewoon hun hardware maintenance manuals en meest recente (en op één na recentste) firmware op een "vergeten" ftp site moeten neerzetten. En als je toch bezig bent, de programmeerinstructies zodat derde partijen drivers kunnen schrijven, ook als je de hardware niet meer produceert. Dat staat namelijk een stuk veiliger dan op websites die om onduidelijke redenen regelmatig verheromgebouwd "moeten" worden.Je moet er alleen wel eerlijk over zijn: Alles wat je er neerzet is qq publiek.
En die alternatieven? Ik zie ze eigenlijk niet. Hoeveel hosters ondersteunen, ik noem een dwarsstraat, sftp? ftps is al teveel moeite, terwijl het gewoon kan. Of bijvoorbeeld rsync over ssh? Je blijft er vastzitten aan ftp, want een bestaand alternatief opzetten lukt ze niet. Dus wordt er maar gehannest met... flash-web-upload "alternatieven". Oh wat fijn.
Door Ubuntu: hoe komt iemand aan die 21000 servers?
je moet toch wel extreem dom zijn om een openftp te draaien of de standaard gebruikersnaam/wachtwoord niet te veranderen
je moet toch wel extreem dom zijn om een openftp te draaien of de standaard gebruikersnaam/wachtwoord niet te veranderen
Nee hoor.. je moet "gebruiker" zijn... :)
Misschien is gewoon een betere vraag waarom die privacy gevoelig gegevens op een FTP server te vinden zijn.
Reageren
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
