Danske internetudbydere vil ikke blokere for udbredt hacker-bagdør

Illustration: Virrage Images/Bigstock
Trods stigende hackerangreb mod den forældede Telnet-protokol, så vil hverken TDC, Telenor eller Telia lukke for adgangen til porten. »Det vil være til gene for vores kunder,« lyder det fra TDC.

»En protokol der for længst burde være død«.

Sådan beskriver it-sikkerhedseksperten Henrik Kramshøj internetprotokollen Telnet, som benytter sig af port 23 og som hackere i stigende grad bruger som en slags bagdør til systemer.

Han opfordrer til, at danske internetudbydere lukker for adgangen til port 23 for deres kunder, men det har ingen af de tre førende internetudbydere TDC, Telia eller Telenor i sinde at gøre i øjeblikket.

Læs også: Stor stigning i hackerangreb mod forældet protokol

»Vi har ikke på nuværende tidspunkt planer om at lukke port 23, da vi ikke oplever den stigning af angreb i vores net, som beskrives i rapporten,« skriver presserådgiver hos TDC Mette Marie Rasmussen til Version2 med henvisning til rapporten ‘State of the Internet’ fra den amerikanske cloudtjeneste-udbyder Akamai.

Port 23 har oplevet en stor stigning i den samlede mængde angrebstrafik, som benytter sig af bagdøren ifølge rapporten. Således var den mål for 32 pct. af den samlede angrebstrafik i fjerde kvartal af 2014, hvilket er en markant stigning fra 12 pct. kvartalet før.

Porten kan især udnyttes til såkaldte brute force-angreb, hvor password og kodeord bliver gættet ved mange gentagne forsøg på forskellige kombinationer. Mens det er begrænset, hvor mange forgæves login-forsøg man kan foretage via SSH, så er der ikke nogen grænser for Telnet.

Internetudbydere: Vores kunder bruger forældet protokol

Telnet er ifølge Henrik Kramshøj en forældet og ukrypteret standard, der i dag er blevet erstattet af det krypterede og således mere sikre SSH. Derfor burde det heller ikke være et problem for internetudbyderne at blokere for porten, mener han.

Heller ikke Telia og Telenor er dog lune på den tanke.

»Det vil være et problem, hvis man skal lukke for alle protokoller, der er sårbare for brute force-angreb, da disse protokoller fortsat er relativt udbredte blandt visse af vores kunder,« siger Telias pressechef, David Engstrøm.

Selvom Telnet allerede begyndte at blive afviklet i 1990’erne, så er det stadig muligt at finde ældre adsl-udstyr, der benytter sig af protokollen ifølge Henrik Kramshøj, der også er direktør for Solido Networks.

»Principielt blander vi os ikke i, hvilken trafik kunderne afstedkommer eller bliver udsat for,« siger David Engstrøm og fortæller, at Telia dog overvejer muligheden for et frivilligt filter, som kan blokere for adgangen.

Telenor har allerede gjort en række tiltage for at imødegå angreb via port 23, fortæller selskabets pressechef, Tom Lehn-Christiansen. Han vil dog ikke fortælle, hvilke tiltag der er tale om, ligesom at selskabet indtil videre heller ikke har i sinde at blokere for porten.

For TDC er der ligefrem tale om et valg af tilsyneladende etiske årsager:

»En lukning af porten vil gå ud over idéen om det åbne internet og vil være til gene for kunder, som benytter den til andet end standard telnet,« siger Mette Marie Rasmussen.

Version2-læseren Lars Bjerregaard har gjort opmærksom på, at blandt andet internetudbyderen Telenor tilbyder routere til deres kunder, som har telnet-login åbent til hele internettet.

Til det svarer selskabets pressechef følgende:

»Vi bruger ikke port 23. Det er rigtigt, at man kan se den port, vi bruger, men man kan ikke logge ind uden det unikke brugernavn og password. Telenor genererer tilfældige brugernavne og passwords til hver enkelt router. Vi bruger porten til konfiguration og software-opdateringer af routere.«

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (40)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Peter Christiansen

Bare en lille komentar til titlen og artiklen generelt:

"Danske internetudbydere vil ikke blokere for udbredt hacker-bagdør" Ekstrablads overskrift right there,

For det første er telnet ikke en hacker bagdør, man skal stadig have det korrekte brugerid og kodeord, hvilket ikke rigtigt kvalificerer det som en "hacker bagdør".

Det ville jo være det samme som at sige at ssh port 22 også er en hacker bagdør, sure det er krypteret, men med mindre du har adgang til netværkspakkerne i transit (i telnet eksemplet), er det jo det samme.

Hackere bruteforcer også port 22, men hvis der er en telnet port åben benyttes den oftest i stedet, da Unix like operativ systemer som regel har knytet de samme bruger konti til både ssh og telnet.

Men jeg vil tro at telnet truslen er overhyped, man stoppede med at benytte telnet allerede i start 90'erne, da der er bedre alternativer.

Mange routere har telnet adgang, dog ikke på port 23 som standard, hvilket også lid ødelægger ideen med at blokere for port 23.

Usaglig artikel synes jeg, i sær i et medie for teknisk mindede.

  • 13
  • 0
Henrik Kramselund Jereminsen Blogger

Jeps, og dem som reelt mener de skal bruge port 23 kan ringe til mig, så skal jeg gerne forklare dem hvad FANDEN de laver! :-)

Der er langt flere som har brug for port 25 end for port 23, og bare det at Telnet er åben på routere fra ISP'er burde være et advarselstegn.

Til slut, TDC - I har faktisk ikke så mange Telnet porte åbne mere :-D Det siger Nmap, Masscan og Shodan.

  • 2
  • 2
Baldur Norddahl

Mens det er begrænset, hvor mange forgæves login-forsøg man kan foretage via SSH, så er der ikke nogen grænser for Telnet.

Det er jo noget vrøvl. De to protokoller har ikke noget at gøre med antal login-forsøg der kan foretages. Det vil typisk være det samme hvis begge protokoller er slået til.

Forskellen er at med telnet kan en hacker lytte med når du logger ind. Det kræver at han har adgang til at lytte et sted mellem din klient og serveren. Men lige præcis det er der flere muligheder for, end du måske lige tror. Når hackeren så har set dig logge ind, så kender han dit login og password da telnet ikke er krypteret.

Jeg vil iøvrigt sige at jeg for tiden oplever et stort antal loginforsøg på ssh. Det problem er på ingen måde begrænset til telnet.

  • 3
  • 0
Baldur Norddahl

Jeps, og dem som reelt mener de skal bruge port 23 kan ringe til mig, så skal jeg gerne forklare dem hvad FANDEN de laver! :-)

Jeg bruger telnet på vores interne management netværk. Det er ikke tilgængeligt på det offentlige internet (management VRF i et MPLS netværk) - men ikke desto mindre ville jeg foretrække ssh. Det er bare ikke en mulighed.

De pågældende switche har godt nok ssh support. Men det er ikke stabilt. Nogle gange fejler login og man skal forsøge flere gange. Og der kan kun være 1 (eller 2) samtidig logins. Telnet virker, så derfor bruger vi den i stedet. Jeg har systemer der automatisk logger ind og det dur bare ikke at ssh fejler på grund af ustabilitet eller at noget andet allerede er logget ind.

Man må arbejde med det udstyr man nu engang har.

Ude på det store netværk er der også lødige tjenester der bruger telnet. Der er f.eks. flere MUDs (et spil) som kører på telnet porten.

  • 4
  • 0
Jens Jönsson

"En lukning af porten vil gå ud over idéen om det åbne internet og vil være til gene for kunder, som benytter den til andet end standard telnet"

Hvor mange brugere har behov for åbent telnet indgående i deres leverandør leverede router ? De fleste routere har også mulighed for at begrænse adgangen til telnet på IP-adresse niveau, sådan at det kun er tilladt fra specifikke addresser.

Der er jo ikke snak om at lukke for telnet udadgående.

Der >er< forskel på om det er indgående eller udgående telnet trafik.

Normalt bør adgang til f.eks. routere være på et særskilt management netværk, hvis man har mulighed for det...

Der er mange enkelte måder at begrænse adgang til management af udstyr på....

  • 1
  • 0
Peter Christiansen

Telnet er jo ikke mere usikkert end alt muligt andet lort der er residerer på nettet.

Måske skulle vi også lukke for 3306 så vi i samme ånd kan få lukket for sql injections hos personer der ikke har fundet ud af hvordan sådan noget virker.

Eller forbyde trådløse netværk da de pr default er kompromiteret lige meget krypterings formen, samme med gsm.

Man kunne jo blive ved, i morgen er det en ny ting som "Kinesiske" hackere prøver at angribe og så skal vi totalt lukke for den pågældende port!!

Kudos til TDC for deres udmelding, men lidt trukket fra da de har blocket port 25.

  • 6
  • 0
Malcolm Xander

Hvis man bevidst anvender en service såsom telnet, så er det også ens eget ansvar at sikre dette. Det betyder ingen default brugernavne og kodeord, og hvis telnet kommer pre-installeret og aktiveret, så er det altså tid til at opgradere sit styresystem. På samme måde er det til dels udbyderen, og til dels kunden der har ansvaret for at sikre enheder såsom routere. Her skriver jeg til dels, da ansvaret for at fikse huller (ikke-tilfældige loginoplysninger kan også anses som et hul), skal findes ved udbyderen, og ansvaret for at opdatere routerens firmware, skal findes hos kunden. Nu er det som sagt de færreste privatpersoner, som rent faktisk er klar over, at f. eks. routere kræver denne form for vedligeholdelse, men sådan ligger landet altså indtil udbyderne får implementeret automatiske opdateringer, i stil med det der bliver brugt til moderne browsere. Nu kræver en opdatering for det meste et reboot, så her må man overveje om de få minutters nedetid, ikke er bedre end en kompromitteret enhed på netværket.

Nu er routere, samt andre diverse IoT enheder såsom overvågningskameraer, termostater, paneler osv. jo ikke ligefrem kendt for at styrke standarten for sikkerhed, og hvis man har fulgt lidt med på det sidste, så er især kineserne, som nævnt i artiklen, glade for at udnytte disse til at styrke f. eks. deres botnets. Hr. og Fru Danmark opdager jo ikke, at de tager del i dette, og er derfor i stigende eftertragtning blandt verdens ukrudt. Når der først er skaffet root-adgang til disse enheder, er de også de ideelle kandidater som mellemled i botnets, der anvender p2p, eller i det mindste semi-decentraliseret struktur. En ting vi helt sikkert kommer til at se en del mere til i fremtiden. Nok ikke fra den normale botherder, men de store drenge bevæger sig allerede i den retning. Der er jo UENDELIGE af disse enheder, som bare venter på at blive udnyttet.

Hov. Nu tabte jeg vidst tråden. Øh. Få styr på sikkerheden i jeres hardware, og lad mig så som kunde, samt bruger af denne hardware, selv bestemme hvorvidt jeg vil have diverse porte og services tilgængelig.

  • 1
  • 0
Lars Bjerregaard

Suk. Ja, det er rigtigt at Telenords åbne telnet interface på deres routere ikke bruger port 23. Men det portnummer der bruges er altså ikke længere end et enkelt opslag på deres hjemmeside væk. De telnet brugere der som default kan anvendes er også temmeligt standard (admin, support, hm?), så tilbage står, at hvis man har lyst til at trænge ind i en helt almindelig router fra Telenor (og alle de andre ISP'ere får jeg nu indtryk af), så er den sværeste del at gætte/sniffe/bruteforce et password på 10 tegn, i en protokol hvor brugernavn og password sendes i klartekst over Internettet. Nogen må gerne byde ind med en faglig analyse af hvor sikkert det lige er - jeg synes det er uansvarligt.

ISP'erne kunne vel for hel.... bruge en mere sikker protokol til deres eget management brug, eller hva? Og fortæl mig lige hvilket behov hr. og fru Jensen har, for at kunne remote administrere deres hjemmerouter, over telnet, fra et hvilket som helst sted i verden, hmm? De kunne da i det mindste lade lortet være lukket som default indstilling, og så lade den ene promille der overhovedet ville kunne finde ud af at bruge det, aktivere det med et flueben fra standard http admin interfacet. I øvrigt er http admin interfacet lukket fra internettet og kun åbent fra LAN siden, mens telnet admin interfacet, som giver meget mere power, er åbent for alle over det hele. Giver ingen mening, overhovedet.

Nope, køber den ikke, og jeg vil hårdnakket påstå at det alene er udtryk for slendrian, inkompetence, gamle dårlige vaner, og en slap sikkerhedskultur, at det fungerer sådan som det gør. Stram op ISP'er!

  • 1
  • 0
Steffen Schumacher

Er heller ikke ideelt, men der er den forskel ift Telnet, at SMTP servere hos hr/fru dk sjældent giver den store mening, fordi fordi professionelle SMTP servere idag jo alle sammen filtrerer mails fra andre servere der optræder på diverse spamhaus lister mv. Hr/fru dk har oftest dynamiske adresser og får derfor ikke lov til at aflevere mails alligevel. Hvis man ønsker at køre mailserver er det også muligt, men ikke på en almindelig forbruger xDSL. Slutteligt er denne filtrering samt isp'ernes filtrering jo kun lavet for at dæmme op for spam-bots i inficerede pc'ere. Telnet er noget andet - det er jo teknisk set helt validt (omend ret oldschool) at have Telnet devices på sit Lan, som man portforwarder til, fordi man bevidst har valgt at gøre dette. Derfor vil det være en restriktion der forhindrer en reel usecase. På internettet skal man undgå at filtrere - hvis man er på skal man derfor være i stand til at beskytte sig selv - og selvfølgelig skal routere mv fra isp have en sikkerhedsmæssig forsvarlig opsætning..

  • 0
  • 0
Peter Stricker

i en protokol hvor brugernavn og password sendes i klartekst over Internettet

Hvis credentials udelukkende sendes mellem Telenords lukkede netværk og kundens router, så lyder det nu ikke så slemt, at de sendes i klartekst. Det giver jo ikke særlig stor risiko for snooping. Men hvis

telnet admin interfacet, som giver meget mere power, er åbent for alle over det hele

så lyder det godt nok som om, man leger med ilden.

Er det virkelig en korrekt beskrivelse af deres setup?

  • 1
  • 0
Peter Christiansen

Som standard kan man logge ind via telnet til telenor routeren på port 23023, med angivelse af brugernavn og adgangskode. Supporten i telenor bruger bla. den adgang til at fejlsøge / resette routeren hvis kunden har problemer.

Port 23023 er som standard tilgængelig fra nettet også udenfor telenors net.

OMG dødsporten port 23 skal blokeres => fail, bare fordi en port har en standard service assosieret med den, er det altså ikke sikkert at servicen der kører på porten eller nogen anden port, ER standard servicen.

På porten i telenors tilfælde 23023 lytter en telnet service, den kunne bruge port 23 som er standard for telnet, men den kunne også bruge en anden port som her er 23023.

Man kunne diskutere om hackere ville prøve at bruteforce den service men som sagt er det ikke på port 23, som denne artikel lægger op til.

En port er ikke en bagdør, fat det dog. (servicen der kører på porten kan muligvis bruges som bagdør indtil systemet, men det kræver stadig brute force af kodeord, eller exploit af det bagvedliggende system.)

  • 1
  • 0
Lars Bjerregaard

Er det virkelig en korrekt beskrivelse af deres setup?

Ja. Jeg kan sidde på mit arbejde, eller et hvilket som helst andet sted, og logge ind på min routers admin interface, via telnet og brugeren "admin". Derfra kan jeg gøre hvad som helst som man nu kan gøre med en router (ikke så godt). Det er deres default opsætning som leveret med routeren, og som det kan ses af andre kommentarer er telenor ikke de eneste der bruger den praksis. Den praksis skal !

  • 0
  • 0
Peter Christiansen

Hvorfor skal den praksis dø? Det er jo lige så usikkert om så servicen der kørte på 23023, var en ssh daemon.

Du kan stadig lave man in the middle hvis du har et punkt fra din router og ind til telenor (212.242.47.140) hvor du kan sniffe trafikken. I praksis det samme som at køre telnet på routeren.

Det er dog dumt at telnette til sin router udefra, da der er flere muligheder for at trafikken kan blive kompromiteret. Men stadig hvis det var ssh kunne man jo gøre det samme, næsten lige så let.

Sikkerhedsmæssigt er der ikke noget problem så længe boxen er patchet og kodeordet er godt nok.

  • 0
  • 6
Baldur Norddahl

Men stadig hvis det var ssh kunne man jo gøre det samme, næsten lige så let.

Nej, forskellen er at med telnet kan login oplysniger sniffes passivt. Det er mange gange lettere end at lave decideret man in the middle, hvor ssh sessionen skal termineres på din server. Foruden at brugeren vil blive advaret, da ssh gemmer host key og verificerer at den ikke er ændret.

Kombiner med nøglefil, og man in the middle er reelt ikke muligt uden at du allerede er hacket på forhånd.

  • 2
  • 0
Emil Stahl

»En lukning af porten vil gå ud over idéen om det åbne internet og vil være til gene for kunder, som benytter den til andet end standard telnet,« siger Mette Marie Rasmussen.

Men alligevel blokerer YouSee (TDC Group) for port 25, 135, 139, 445, 548?

  • 1
  • 0
Jens Jönsson

Det er deres default opsætning som leveret med routeren, og som det kan ses af andre kommentarer er telenor ikke de eneste der bruger den praksis. Den praksis skal dø!

Fuldstændigt tåbeligt at de i det mindste ikke spærrer, sådan at det kun et begrænset antal IP-addresser at telnet til routeren kan tilgås fra.

Det må da være muligt for dem at lave en standard firewall regel...

  • 0
  • 0
Per Gøtterup

Yousee-afdelingen gør det samme, men port 25 kan man få åbnet. De lukker også for andre porte og protokoller, som man ikke kan få åbnet.

Andre har allerede nævnt SMB-portene så dem springer jeg lige over, men TDC (og andre) blokerer også i visse dele af deres net for IP protokol 47 (GRE) hvilket gør det umuligt at etablere en PPTP VPN tunnel til f.eks. arbejdet.

  • 0
  • 0
Kristian Klausen

Nej, forskellen er at med telnet kan login oplysniger sniffes passivt. Det er mange gange lettere end at lave decideret man in the middle, hvor ssh sessionen skal termineres på din server. Foruden at brugeren vil blive advaret, da ssh gemmer host key og verificerer at den ikke er ændret.

Kombiner med nøglefil, og man in the middle er reelt ikke muligt uden at du allerede er hacket på forhånd.

Det her rimelig meget off-topic, men kunne ikke lige finde et andet sted at spørge dig "offentligt". Læste for et par dage siden på TorrentFreak at der er 12 nye sider der blevet blokkeret her i landet. I artiklen står der at der er indgået en fælles aftale med Teleindustrien link.

Det jeg så egentlig vil spørge om er, blokker i (Gigabit.dk) de hjemmesider? Såvidt jeg ved, er i ikke medlem af Teleindustrien, så i er ikke forpligtet til det (??). Men kunne være i gjorde det alligevel, for at undgå en retssag.

Undskyld, meget offtopic, men andre synes måske det også er interessant!

  • 0
  • 0
Baldur Norddahl

Vi er ikke medlem og jeg kender ikke til nogen offentlig tilgængelig liste over blokkerede domæner. Så vi har ingen mulighed for at blokere domæner selv hvis vi ville.

Hvis der er nogen der henvender sig og kræver et domæne blokeret, så er vi nødt til at efterkomme det. Sådan er retspraksis i dette land og det har ikke noget formål at spilde penge på advokater og retssager. Jeg bruger hellere pengene på at bygge netværk.

Heldigvis er det trivielt for brugerne at skifte til alternative DNS servere.

  • 1
  • 0
Kristian Klausen
  • 0
  • 0
Klaus Slott

Gik ind på version i dag for at se om i havde fundet på noget sjovt, da jeg så denne artikel tænkte jeg "der var den". Men gennemlæsning og og artiklens dato viste jeg tog fejl. Helt ærlig, at kalde en åben port en hacker bagdør og kræve at isp'ene skal lukke for den er da helt i skoven. Personligt er jeg ligeglad med om port 23 er lukket, men principielt mener jeg, som flere andre ovenfor, at det er ikke et problem der skal løses trafikalt. De eneste man kan klandre i denne sag, er dem der udleverer udstyr beregnet til tilslutning direkte til nettet og samtidig konfigureret med åbne ukrypterede service porte (uanset type og nummer).

  • 0
  • 0
Jesper Lund

Hvis der er nogen der henvender sig og kræver et domæne blokeret, så er vi nødt til at efterkomme det. Sådan er retspraksis i dette land og det har ikke noget formål at spilde penge på advokater og retssager. Jeg bruger hellere pengene på at bygge netværk.

Du er kun forpligtet til at efterkomme retskendelser om blokering, som specifikt vedrører dit firma. Hvis kendelsen er fra en sag mod TDC, er det ikke tilstrækkeligt at Rettighedsalliancen sender dig en kopi og beder dig blokere domænet.

  • 0
  • 0
Baldur Norddahl

Du er kun forpligtet til at efterkomme retskendelser om blokering, som specifikt vedrører dit firma. Hvis kendelsen er fra en sag mod TDC, er det ikke tilstrækkeligt at Rettighedsalliancen sender dig en kopi og beder dig blokere domænet.

Betaler du min advokatregning for at jeg går i retten med en sag som er 100% tabt på forhånd? Hvis TDC tabte sagen, så gør vi også. Så jo, hvis de sender mig en kopi af en kendelse imod en udbyder, så kan du være helt sikker på at jeg vælger fornuften og følger trop.

Helt ærlig - mener du seriøst at vi som en lille ISP skal spilde penge på den slags julelege? Folk der bekymrer sig om emnet vælger bare nogle andre DNS servere. Det koster kroner 0. Der er ikke nogen speciel fordel ved at bruge vores DNS server, andet end et eller andet skal vi give folk via DHCP opsætningen.

  • 0
  • 0
Nicolas Østergaard

Jeg er selv kommet et godt stykke ved at bruge Fail2ban til SSH.

Fail2ban overvåger auth.log - hvis den registrerer 6 fejlslagne forsøg, kvitterer den med en blokering i iptables.

Da SSH lyttede på 22 blev iptables hurtigt fyldt op med blokeringer. Efter skiftet til en anden port har der stortset ikke været nogen forsøg.

  • 0
  • 0
Bent Jensen

Helt ærlig - mener du seriøst at vi som en lille ISP skal spilde penge på den slags julelege?

Måske hvis du vil skille dig ud, og have kunder der måske valgte dig istedet for TDC.

Man behøver heller ikke bruge meget advokat tid i starten på sådan en sag. Du lader bare være at følge TDC, det vedrører jo slet ikke dig. Først når de retter henvendelse til dig, tager du sagen op, det kan jo give langt tid med skreven frem og tilbage.

Så retter du ind hvis du synes det ligner en sag du ikke kan vinde.

Det er små julelege, og samtidig beskriver du det hele, på V2 og udstiller deres håbeløse inkompetence, og får der ved noget gratis PR som giver kunder i butikken.

  • 0
  • 0
Lars Bjerregaard

Så meget som jeg hader at genoplive en gammel tråd, er der altid dem ser siger "ja ja, men det sker jo ikke i det virkelige liv". Så her bare lige et eksempel på hvad der sker i det virkelige liv - i dag når vores routere har åbent for telnet adgang fra Internettet, oven i købet med kendte og faste brugernavne: http://arstechnica.com/security/2015/05/the-moose-is-loose-linux-based-w...

Jeg gentager: ISP'ere - Luk telnet på jeres routere, eller som et minimum luk for telnet adgang fra Internet.

  • 0
  • 0
Søren Kjærsgaard

..har åbenbart deres Zyxel VDSL routers websetup tilgængeligt på WAN siden (jeps, port 80..) lukkede det straks på min brors router, da jeg opdagede det.

Kiggede lige i min pfSense log - der er faktisk en del forsøg på port 23. Også på port 25 (så den har TDC åbenbart ikke lukket) Kører med et 'dumt' Askey VDSL modem.

mvh

  • 0
  • 0
Log ind eller Opret konto for at kommentere