Aktivist finder ubeskyttede FTP-servere hos CSC

12. juni 2013 kl. 06:2916
En hurtig søgning med et gratis værktøj afslørede flere åbne og ubeskyttede FTP-servere hos CSC i Danmark, fortæller en internetaktivist. Der lå data, som alle kunne tilgå.
Artiklen er ældre end 30 dage
Manglende links i teksten kan sandsynligvis findes i bunden af artiklen.

En lynhurtig søgning på domænet csc.dk med værktøjet ShodanHQ var nok til, at internetaktivisten Torben Andersen kunne finde frem til flere FTP-servere hos CSC, der slet ikke var beskyttede.

»Jeg sad mandag aften og kedede mig og ville lige prøve, efter historierne om hackerangrebet mod CSC. Og så havde de stadig nogle pivåbne FTP-servere. Det synes jeg er mystisk, efter alt det der er sket,« siger han til Version2.

Han kunne få adgang til serverne uden at skulle bruge brugernavn eller password og ’kiggede ind’ på en af dem.

»Jeg var så fræk at gå ind på en af dem, hvor jeg kunne se, at der lå nogle gz-arkiver og mapper. Af gode grunde turde jeg ikke gå videre og åbne dem, for at se, hvad det var,« forklarer Torben Andersen.

Artiklen fortsætter efter annoncen

Han havde alle rettigheder til at ændre, kopiere og slette filerne, som han altså ikke kan vurdere, hvad indeholder. Men oversigten over serverens indhold viser, at der ligger tre gz-arkiver fra 2006, det største på 12 megabyte, samt en række mapper, hvor den nyeste er fra 2012.

Det kan jo være en testserver, der var sat op med dummyfiler, uden nogen følsomme oplysninger. Mener du så stadig, det er et problem?

»Ja, det vil jeg mene, for servere er jo i forbindelse med hinanden. Det ville ikke undre mig, hvis de brugte shared hosting.«

En anden mulighed er, at serveren er en ’honeypot’, altså en slags lokkedue på nettet, men det vurderer Torben Andersen heller ikke er tilfældet. Vil man tjekke det, er der også adgang til logfiler for serveren, der viser, hvem der har været koblet på, men så langt ville han ikke gå her.

Torben Andersen, der er uddannet elektriker, har arbejdet med programmering af robotteknologi i hans civile arbejde, men kalder sig selv for en ’scriptkiddie’ på it-sikkerhedsfronten. Alligevel er det ikke svært at finde frem til åbne FTP-servere, når gratis værktøjer som ShodanHQ er tilgængelige, forklarer han. Tidligere har han også demonstreret, hvordan han fandt en ubeskyttet Windows XP-computer på Saxo Banks netværk, i programmet Aflyttet på Radio 24syv.

Version2 har kontaktet CSC for en kommentar og følger op, når CSC vender tilbage.

16 kommentarer.  Hop til debatten
Denne artikel er gratis...

...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.

Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.

Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.

Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.

Debatten
Log ind eller opret en bruger for at deltage i debatten.
settingsDebatindstillinger
9
12. juni 2013 kl. 11:03

FTP-protokollen er da supereffektiv til det den er lavet til. Hvis der findes en anden protokol, der med samme hastighed (uden overhead til kryptering) kan overføre store binære mængder data vil jeg gerne se den. Jeg har flere steder sat FTP-servere op så IT-udfordrede kunder/leverandører ikke forsøger at sende gigantiske filer via mail. En 50MB+ .zip- eller installations-fil har jo intet at gøre i en mailboks. Lav en anonym FTP-server med en /upload-mappe der ligger på sit eget filsystem, hvor der kun kan uploades til (ikke noget med at liste filer eller læse data). Hent selv filen via SFTP når du er klar til det. Personfølsomme oplysninger har selvfølgelig intet at gøre på en FTP-server, men med den undtagelse er FTP-serveren en aldeles berettiget.

10
12. juni 2013 kl. 11:23

En hurtig note til din første kommentar om overhead: Kryptering gør ikke dine overførsler langsommere, med mindre du har en overordentligt langsom CPU. Der er i dag ingen grund til ikke at bruge kryptering så ofte som muligt, især ikke når det er præcist lige så let at bruge SFTP som FTP. Hvis folk kun krypterer vigtige/hemmelige/suspekte ting, så røber de for meget information allerede dér.

16
15. juni 2013 kl. 04:03

Du har ret i at kryptering ikke ændrer på størrelsen af data, men hvis vi snakker om krypterede data overførsler, altså FTPS/SFTP, så bliver overhead alligevel betyde ligt. Som OP nævnte, så er FTP fint til det den oprinde ligt blev lavet til - rå dataoverførsel uden særligt henblik på sikkerhed.

11
12. juni 2013 kl. 11:37

Svarer lige på mit eget indlæg med lidt empiri. På en helt almindelig ca. et halvt år gammel laptop krypterer jeg 1GB på 7 sekunder. Det giver en båndbredde på ca. 1.4Gbps, som i ret sjældne tilfælde ender som flaskehalsen når man skal flytte filer over et netværk.

  1. ➜ ~ du -hs random.bin
  2. 1,1G random.bin
  3.  
  4. ➜ ~ time openssl enc -in random.bin -out /dev/null -aes-128-cbc -K <lange> -iv <værdier>
  5. 7,07s user
  6. 0,70s system

13
12. juni 2013 kl. 16:41

Når filen nu er krypteret, hvor meget fylder den så? En af funktionerne ved kryptering er så vidt jeg ved, at man heller ikke kan udlede længden af plain teksten der er krypteret.

14
13. juni 2013 kl. 12:15

Som udgangspunkt fylder krypterede versioner af en fil det samme som filen selv, med visse afrundinger til block sizes mv. afhængigt af cipher og mode of operation. Men det fylder ikke signifikant mere.

Hvis du gerne vil skjule hvor meget filen fylder, står det dig frit for at "padde" den med skrald eller nuller før kryptering og så kassere paddingen efter dekryptering.

15
13. juni 2013 kl. 23:31

Tja, så havde jeg jo åbenbart sovet i timen, og blev jo så lidt klogere... :)

8
12. juni 2013 kl. 09:51

Faktisk vil jeg mene, at i og med passwords sendes ukrypteret i FTP-protokollen, er anonym FTP er den eneste "sikre" brug af FTP - til alt andet burde man bruge SFTP eller FTPS (som jeg lige fandt ud af findes - men som jeg aldrig har set anvendt.) Eller naturligvis HTTPS...

12
12. juni 2013 kl. 12:59

Der kan være rigtig mange gode grunde til at bruge en anonym FTP server - netop fordi den er ukrypteret så det er vanvid med password adgang.

Meeen - det kræver lige den er jailed og sat op til Read Only.

7
12. juni 2013 kl. 09:35

Kan virkelig ikke se hvad problemet er i en FTP server med tre pakker med Sun Enterprise Explorer 5.0 ? Der findes millioner af FTP servere med opdateringspakker til alle mulige unix varianter ?!?

At det kan blive til en forside historie undrer mig :)

6
12. juni 2013 kl. 09:27

Mere er der ikke at sige

4
Indsendt af Henrik B Sørensen (ikke efterprøvet) den ons, 06/12/2013 - 08:58

Der er da flere IT huse, som har åbne FTP servere.. En stor del af de, jeg har oplevet, bruger Security-by-Obscurity.. Dvs. listing er disabled.

1
12. juni 2013 kl. 08:20

Åbne FTP-servere kan jo have mange formål, det behøver der da bestemt ikke være noget suspekt i. I "gamle dage" var det i hvert fald meget udbredt. Og den største fil er ikke 12 gigabyte, men 12 megabyte så vidt jeg kan se.

Skal man endelig sige noget grimt om det FTP-sted, så er det at det kan bruges til fri up- og download, så med mindre det er nøje overvåget, kan det bruges til illegitim fildeling. Directoryet "incoming" er måske blevet lavet i 2012 for at sikre mod den slags, men så skulle det have haft write-only tilladelser, så man ikke kan downloade fra det.

5
12. juni 2013 kl. 08:58

Jeg kender ikke noget godt formål med en åben ftp-server, som ikke kunne klares lige så godt med en password-beskyttet en.

Det kan man vel også sige om alle hjemmesider :-)

Det er vel det Morten Winther mener, hvis alt indhold er offentligt og frit tilgængeligt, er en ftp server adgang den nemmest og sikkert også mest effektiv adgang til at dele det. Alle har værktøj til at tilgå den, og protokollen er beregnet til fil overførelse. Udskift www med ftp i din browser.