Aktivist finder ubeskyttede FTP-servere hos CSC

Illustration: leowolfert/Bigstock
En hurtig søgning med et gratis værktøj afslørede flere åbne og ubeskyttede FTP-servere hos CSC i Danmark, fortæller en internetaktivist. Der lå data, som alle kunne tilgå.

En lynhurtig søgning på domænet csc.dk med værktøjet ShodanHQ var nok til, at internetaktivisten Torben Andersen kunne finde frem til flere FTP-servere hos CSC, der slet ikke var beskyttede.

»Jeg sad mandag aften og kedede mig og ville lige prøve, efter historierne om hackerangrebet mod CSC. Og så havde de stadig nogle pivåbne FTP-servere. Det synes jeg er mystisk, efter alt det der er sket,« siger han til Version2.

Han kunne få adgang til serverne uden at skulle bruge brugernavn eller password og ’kiggede ind’ på en af dem.

»Jeg var så fræk at gå ind på en af dem, hvor jeg kunne se, at der lå nogle gz-arkiver og mapper. Af gode grunde turde jeg ikke gå videre og åbne dem, for at se, hvad det var,« forklarer Torben Andersen.

Han havde alle rettigheder til at ændre, kopiere og slette filerne, som han altså ikke kan vurdere, hvad indeholder. Men oversigten over serverens indhold viser, at der ligger tre gz-arkiver fra 2006, det største på 12 megabyte, samt en række mapper, hvor den nyeste er fra 2012.

Det kan jo være en testserver, der var sat op med dummyfiler, uden nogen følsomme oplysninger. Mener du så stadig, det er et problem?

»Ja, det vil jeg mene, for servere er jo i forbindelse med hinanden. Det ville ikke undre mig, hvis de brugte shared hosting.«

En anden mulighed er, at serveren er en ’honeypot’, altså en slags lokkedue på nettet, men det vurderer Torben Andersen heller ikke er tilfældet. Vil man tjekke det, er der også adgang til logfiler for serveren, der viser, hvem der har været koblet på, men så langt ville han ikke gå her.

Torben Andersen, der er uddannet elektriker, har arbejdet med programmering af robotteknologi i hans civile arbejde, men kalder sig selv for en ’scriptkiddie’ på it-sikkerhedsfronten. Alligevel er det ikke svært at finde frem til åbne FTP-servere, når gratis værktøjer som ShodanHQ er tilgængelige, forklarer han. Tidligere har han også demonstreret, hvordan han fandt en ubeskyttet Windows XP-computer på Saxo Banks netværk, i programmet Aflyttet på Radio 24syv.

Version2 har kontaktet CSC for en kommentar og følger op, når CSC vender tilbage.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Kommentarer (16)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Lasse Hillerøe Petersen

Åbne FTP-servere kan jo have mange formål, det behøver der da bestemt ikke være noget suspekt i. I "gamle dage" var det i hvert fald meget udbredt. Og den største fil er ikke 12 gigabyte, men 12 megabyte så vidt jeg kan se.

Skal man endelig sige noget grimt om det FTP-sted, så er det at det kan bruges til fri up- og download, så med mindre det er nøje overvåget, kan det bruges til illegitim fildeling. Directoryet "incoming" er måske blevet lavet i 2012 for at sikre mod den slags, men så skulle det have haft write-only tilladelser, så man ikke kan downloade fra det.

  • 2
  • 8
s_ mejlhede

Jeg kender ikke noget godt formål med en åben ftp-server, som ikke kunne klares lige så godt med en password-beskyttet en.


Det kan man vel også sige om alle hjemmesider :-)

Det er vel det Morten Winther mener, hvis alt indhold er offentligt og frit tilgængeligt, er en ftp server adgang den nemmest og sikkert også mest effektiv adgang til at dele det. Alle har værktøj til at tilgå den, og protokollen er beregnet til fil overførelse.
Udskift www med ftp i din browser.

  • 1
  • 0
Lasse Hillerøe Petersen

Faktisk vil jeg mene, at i og med passwords sendes ukrypteret i FTP-protokollen, er anonym FTP er den eneste "sikre" brug af FTP - til alt andet burde man bruge SFTP eller FTPS (som jeg lige fandt ud af findes - men som jeg aldrig har set anvendt.) Eller naturligvis HTTPS...

  • 13
  • 0
Morten Abildgaard

FTP-protokollen er da supereffektiv til det den er lavet til. Hvis der findes en anden protokol, der med samme hastighed (uden overhead til kryptering) kan overføre store binære mængder data vil jeg gerne se den.
Jeg har flere steder sat FTP-servere op så IT-udfordrede kunder/leverandører ikke forsøger at sende gigantiske filer via mail. En 50MB+ .zip- eller installations-fil har jo intet at gøre i en mailboks.
Lav en anonym FTP-server med en /upload-mappe der ligger på sit eget filsystem, hvor der kun kan uploades til (ikke noget med at liste filer eller læse data). Hent selv filen via SFTP når du er klar til det.
Personfølsomme oplysninger har selvfølgelig intet at gøre på en FTP-server, men med den undtagelse er FTP-serveren en aldeles berettiget.

  • 5
  • 5
Jens Christian Hillerup

En hurtig note til din første kommentar om overhead: Kryptering gør ikke dine overførsler langsommere, med mindre du har en overordentligt langsom CPU. Der er i dag ingen grund til ikke at bruge kryptering så ofte som muligt, især ikke når det er præcist lige så let at bruge SFTP som FTP. Hvis folk kun krypterer vigtige/hemmelige/suspekte ting, så røber de for meget information allerede dér.

  • 7
  • 0
Jens Christian Hillerup

Svarer lige på mit eget indlæg med lidt empiri. På en helt almindelig ca. et halvt år gammel laptop krypterer jeg 1GB på 7 sekunder. Det giver en båndbredde på ca. 1.4Gbps, som i ret sjældne tilfælde ender som flaskehalsen når man skal flytte filer over et netværk.

➜  ~  du -hs random.bin   
1,1G   random.bin  
   
➜  ~  time openssl enc -in random.bin -out /dev/null -aes-128-cbc -K <lange> -iv <værdier>  
7,07s user   
0,70s system
  • 2
  • 0
Jens Christian Hillerup

Som udgangspunkt fylder krypterede versioner af en fil det samme som filen selv, med visse afrundinger til block sizes mv. afhængigt af cipher og mode of operation. Men det fylder ikke signifikant mere.

Hvis du gerne vil skjule hvor meget filen fylder, står det dig frit for at "padde" den med skrald eller nuller før kryptering og så kassere paddingen efter dekryptering.

  • 1
  • 0
Anders VN

Du har ret i at kryptering ikke ændrer på størrelsen af data, men hvis vi snakker om krypterede data overførsler, altså FTPS/SFTP, så bliver overhead alligevel betyde ligt.
Som OP nævnte, så er FTP fint til det den oprinde ligt blev lavet til - rå dataoverførsel uden særligt henblik på sikkerhed.

  • 0
  • 1
Log ind eller Opret konto for at kommentere
Jobfinder Logo
Job fra Jobfinder

Call to action

En lynhurtig søgning på domænet csc.dk med værktøjet ShodanHQ var nok til, at internetaktivisten Torben Andersen kunne finde frem til flere FTP-servere hos CSC, der slet ikke var beskyttede. »Jeg sad mandag aften og kedede mig og ville lige prøve, efter historierne om hackerangrebet mod CSC. Og så havde
de stadig nogle pivåbne FTP-servere. Det synes jeg er mystisk, efter alt det der er sket,« siger han til Version2. Han kunne få adgang til serverne uden at skulle bruge brugernavn eller password og ’kiggede ind’ på en af dem. »Jeg var så fræk at gå ind på en af dem, hvor jeg kunne se, at der lå nogle gz-arkiver og mapper. Af gode grunde turde jeg ikke gå videre og åbne dem, for at se, h...