FTP servers zijn nog te vaak slecht geconfigureerd en hun beveiliging laat sterk te wensen over. Uit onderzoek van de security experts van Networking4all blijkt dat veel FTP servers gemakkelijk te bereiken zijn door buitenstaanders en hun inhoud volledig prijsgeven. In onze nieuwste whitepaper laten wij daarom zien hoe gemakkelijk FTP servers uit te lezen zijn, wat voor documenten er zoal gevonden werden, en wat u kunt doen om uw server te beschermen.

Ons onderzoek werd uitgevoerd door de security experts Dennis Veninga en Sebastian Broekhoven. Tijdens hun werkzaamheden hebben zij geen gegevens opgeslagen, en in hun bevindingen zijn gevoelige gegevens gecensureerd om misstanden en misbruik te voorkomen. Ook zijn de beheerders van de servers wanneer mogelijk op de hoogte gesteld en geïnformeerd over de bevindingen.

Onkunde
Alleen het grote aantal publiekelijk toegankelijke FTP servers schept al de verwachting dat het beheer van een aanzienlijke portie hiervan wordt gedaan door mensen die onvoldoende kennis of vaardigheden hebben om de security op orde te houden. Vaak wordt een FTP server opgezet, ingesteld, en verder niet meer naar omgekeken.  Nog vaker wordt niet verder gekeken dan de standaard configuratie, waardoor er ongemerkt veel meer toegang wordt gegeven aan derden dan een beheerder wellicht zou willen. Ook kan een diefstal lang onopgemerkt blijven of zal men niet direct denken aan de beveiliging van een FTP server wanneer er wel problemen ontstaan.

Het onderzoek
Tijdens het onderzoek van de security experts van Networking4all naar FTP servers kwam aan het licht dat er in Nederland ruim 3.000 open FTP servers zijn. Hiervan wordt geschat dat ongeveer 75% zonder enige vorm van authenticatie ingezien kan worden. Wereldwijd waren dat er zelfs ruim 300.000, waarvan ongeveer 200.000 met onvoldoende beveiliging of configuratie die ongewenst publiek buiten de deur houdt. Een zeer groot aantal van deze FTP servers bleek onderdeel te zijn van een LacieBox. Dit zijn netwerkschijven met ingebouwde FTP mogelijkheden, die veel gebruikt worden voor file sharing en als back-up. De LacieBox is een populaire schijf dankzij het gebruiksgemak en de lage kosten, maar wordt vaak niet of nauwelijks geconfigureerd waardoor de back-ups en bestanden gemakkelijk in te zien zijn.

De security experts hebben hun onderzoek uitgevoerd zonder gebruik te maken van exploits.  Bij ruim 3500 servers zagen zij wel dat gebruik werd gemaakt van een verouderde versie van ProFTPD. Hiermee kan code op afstand worden uitgevoerd, ook zonder enige vorm van authenticatie. Bij het beter bekijken van een selectie van de servers die open bleken te staan, kwam aan het licht dat deze servers vaak belachelijk gevoelige informatie kunnen bevatten. In één geval werd zelfs een heel document met inloggegevens voor allerlei services en websites gevonden, waaronder zelfs bankgegevens.

Één van de gevonden servers bleek een back-up te bevatten van een MacBook. In de back-up stonden onder andere honderden interne e-mails van een Medisch Centrum. Ook stonden er documenten, foto’s en andere gevoelige informatie op. Het medisch centrum is van de vondst op de hoogte gesteld en is direct een intern onderzoek gestart. Hieruit bleek dat het ging om een NAS, of netwerkschijf, die door een oud-medewerker met de standaard configuratie aan hun thuisnetwerk was gekoppeld. Inmiddels heeft de eigenaar de NAS weer offline gehaald.

Meer weten? Lees ons volledige onderzoek in onze whitepaper over datadiefstal.

 

Ook op privéniveau werden er veel gevoelige gegevens teruggevonden, zoals foto’s van persoonlijke aard en documenten met privé informatie zoals CV’s, maar ook ingescande identiteitsbewijzen of rijbewijzen met pasfoto’s bleken open en bloot op de servers te staan.

Identiteitsfraude
En juist dat soort informatie is voor hackers een goudmijn. Met wat basisinformatie en een duidelijke foto kan iemand zich gemakkelijk voordoen als iemand anders op het internet, met soms enorme negatieve gevolgen voor het slachtoffer. Tv-programma’s als Radar en Opgelicht?! maken regelmatig reportages over mensen die slachtoffer zijn geworden van fraude via social media.

Maar e-mailfraude kan nog veel verder gaan dan dat. Wanneer een server informatie bevat zoals een wachtwoordenbestand, is het helemaal al een peulenschil voor hackers om iemand’s online leven helemaal over te nemen. Voor veel mensen heeft e-mail de rol ingenomen van een centraal verzamelpunt voor veel andere diensten. Inloggen bij webshops, services of sociale media gebeurt vaak met hetzelfde e-mailadres. Zodra een hacker dus toegang heeft tot dat account, is het hek van de dam.


(bron: https://deceptify.nl/uitleg/e-mail-gehackt/ )

Zo kunnen ze bestellingen plaatsen bij webshops, leningen of abonnementen afsluiten, of uw accounts gebruiken voor oplichtingspraktijken. Want hoewel het opzetten van een nepaccount met foto’s die ze gevonden hebben op een onbeveiligde FTP server voor veel fraudeurs al lucratief kan zijn, haalt dat het niet bij de geloofwaardigheid van een bestaand Facebook-account met al haar historie en gevulde vriendenlijst.Een veelgebruikte truc na het overnemen van een account is het plaatsen van een noodkreet, waarbij gevraagd wordt om financiële steun. Wanneer een vriend of familielid hierop reageert, wordt een bankrekeningnummer doorgegeven waar geld op gestort kan worden.

De beste beveiliging
De beste verdediging tegen deze scenario’s is door goed om te gaan met uw gevoelige informatie. In het geval van de back-ups op FTP servers is het belangrijk dat u goed weet welke informatie er opgeslagen wordt, hoe dat gedaan wordt, en wat de beveiliging is van de plek waar u uw back-up plaatst. Wees u bewust van welke gegevens u bewaart.

Wanneer u verantwoordelijk bent voor de server, zorg er dan voor dat u de configuratie heeft aangepast naar uw eigen waarden: verander het standaard wachtwoord of voeg een wachtwoord toe, pas de toegang aan zodat anonieme gebruikers nooit kunnen inloggen op uw server, en wees u bewust van hoeveel gebruikers tegelijkertijd kunnen inloggen en pas dit aan naar een hoeveelheid gebruikers die voor uw server logisch is. Bekijk ook de mogelijkheden van een IP-whitelist of andere vormen van blokkade die hackers buiten de deur kunnen houden.

Daarnaast is two-factor authentication, oftewel tweestapsverificatie, ook een belangrijk wapen in uw arsenaal. Veel e-mail aanbieders, waaronder Gmail en Outlook, bieden tegenwoordig een dienst aan waarmee u niet alleen inlogt met uw gebruikersnaam en wachtwoord, maar ook een extra code die periodiek wordt aangemaakt via een app op uw telefoon, of via een SMS dienst. Ook sociale media zoals Facebook en Twitter bieden deze dienst aan.

Wanneer u de overhand wilt houden in uw security kunt u er voor kiezen om uw servers te laten controleren met een pentest. Onze security experts kijken dan onder andere naar openstaande poorten, maar ook naar andere zwakke punten in uw beveiliging. Kijk voor meer informatie op onze website.

Bent u benieuwd naar alle vondsten van ons security team en wilt u meer leren over het verbeteren van uw security en beschermen van uw eigen FTP server?

Download nu onze whitepaper over datadiefstal

Lees relevante artikelen

Categorie  Bedrijfsnieuws Research SSL & Security | Tags  datadiefstal Datalek ftp Security whitepaper