Stor stigning i hackerangreb mod forældet protokol

27. marts 2015 kl. 06:0516
Stor stigning i hackerangreb mod forældet protokol
Illustration: iStockphoto.com.
Internetudbydere bør lukke port 23 for at beskytte kunderne, lyder det fra it-sikkerhedsekspert. Protokollen bliver stort set ikke brugt længere, men bliver i stigende grad misbrugt af hackere.
person
Artiklen er ældre end 30 dage
Manglende links i teksten kan sandsynligvis findes i bunden af artiklen.
person

Hackere benytter sig i stigende grad af en forældet internetprotokol til at skaffe sig adgang til folks brugernavne og kodeord på nettet.

Sådan lyder en af konklusionerne på rapporten ‘State of the Internet’ fra den amerikanske cloudtjeneste-udbyderen Akamai.

32 pct. af trafikken fra hackerangreb gik igennem port 23 Telnet i fjerde kvartal af 2014 ifølge rapporten, hvilket er en markant stigning fra 12 pct. i tredje kvartal samme år.

Det overrasker it-sikkerhedsekspert og direktør for Solido Networks, Henrik Kramshøj:

Artiklen fortsætter efter annoncen

»Den burde faktisk slet ikke eksistere på internettet, for det er en oldgammel protokol,« siger han til Version2.

Telnet er en ukrypteret standard, der blev udviklet i 1969 og brugt til terminal konsol adgang over netværk. I dag er den dog for det meste erstattet af Secure Shell (SSH), som er krypteret. Når hackerne benytter sig af Telnet, så gør det blandt andet arbejdet lettere med at udføre såkaldte brute force angreb, hvor de finder frem til folks brugernavne og kodeord ved at blive ved med at prøve forskellige kombinationer af.

Det foregår typisk ved, at en bot scanner efter forbindelser, hvor port 23 er åben, og så derefter forsøger at logge ind på den. Derfor kan den stigende brug af Telnet blandt hackere også være et tegn på, at brute force-angreb bliver mere udbredt ifølge rapporten.

Telnet kan stadig blive brugt af ældre adsl-routere og lignende udstyr ifølge Henrik Kramshøj, der også opdagede at firmaet CSC i sommers havde en gammel Solaris-maskine tændt med Telnet stående åben ud til internettet.

Artiklen fortsætter efter annoncen

Jobs

Dine job
Vis alle

Men ellers er protokollen »så godt som død, og burde have været det for 15 år siden«, ifølge Henrik Kramshøj.

Af samme grund opfordrer han alle internetudbyderne til at blokere for port 23, så hackerne ikke længere kan udnytte den.

»Det er en god idé at gøre det, så man undgår, at kunder der har Telnet stående med default password bliver hacket,« siger Henrik Kramshøj.

Forældet protokol hitter blandt kinesiske hackere

Telnet er især en populær indgang for kinesiske hackere, viser rapporten fra Akamai.

Her er port 23 involveret i over halvdelen af trafikken fra hackerangreb, hvilket er tæt på seks gange så meget som den næstmest populære blandt hackerne.

Det er endnu uklart, hvad der præcis er årsagen til, at porten lige pludselig er blevet så populære blandt hackere.

Noget tyder dog på, at antallet af hackergrupper er stigende ifølge Henrik Kramshøj.

I alt stod angrebene mod de ti mest populære porte blandt hackerne for 79 pct. af angrebstrafikken i fjerde kvartal, hvilket er mere end en fordobling i forhold til kvartalet før, hvor portene stod for 38 pct. Med andre ord er det blevet mere populært blandt hackerne at koncentrere sig om de mest populære porte.

Artiklen fortsætter efter annoncen

»Det tyder på, at der er en stigning af grupper, som sætter systemer op og scanner efter det her,« siger Henrik Kramshøj og fortsætter:

»De koncentrerer sig om der, hvor de kan finde de lavthængende frugter. Der er mange, som kæmper om de samme mål, og de kommer ofte fra Kina og USA.«

Emner
16 kommentarer.  Hop til debatten
Denne artikel er gratis...

...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.

Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.

Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.

Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.

Køb abonnementFå prøveabonnement

Jobs

Dine job
Vis alle

Fortsæt din læsning

Debatten
Log ind eller opret en bruger for at deltage i debatten.
settingsDebatindstillinger
14
Peter Bryde
27. marts 2015 kl. 11:47

Helt uenig i at isp skal lukke porte, det er kundens ansvar at hans it system er sikret.

Desuden kan jeg ikke se hvorfor det skulle være mere attraktivt at prøve at bruteforce en telnet service end en ssh, (med mindre ssh daemonen er sat op til kun at tillade login via certifikat).

Telnet er een af mange services og selvfølgelig prøver de at bruteforce sig adgang hvis port 23 er åben. Det kunne dog tænkes at man ville køre noget andet på port 23 end en telnet service og det skal isp'en ikke blande sig i.

Det minder mig om TDC's idiotiske politik med at man ikke må connecte til en smtp server på port 25 (der ikke er deres), fra deres net.

Solution, sæt din eksterne mail server til at lytte på en anden port udover standard porten.

Konklusion, hvis du vil køre telnet, hvis de lukker port 23, sæt service op til at lytte på en anden port.

Ellers hvis du er træt af brute force forsøg ( som også sker ofte med ssh), sæt regler op i din firewall til at blokere ip'er, ved f.eks 3 forkerte forsøg og rate limit antallet af samtidige forbindelser => fixed.

Og slutteligt sørg for at have gode passwords.

Hvis du kan lide telnet, vær opmærksom på at trafikken og login/pass sendes i klartekst over nettet.

Hvis din router der hjemme står med åben telnet port til et obskurt administrations interface, er det din udbyders ansvar sammen med producenten at patche udstyret og få lukket. Der er IKKE en løsning at lukke for adgang til en speciel port.

"Telnet er især populær blandt kinesiske hackere" => Nej telnet er især popular FORDI der kører en telnet service på porten og at angrebs ip'en er kinesisk, gør ikke at hackeren er kinesisk.

Det har ikke en fis med popularitet at gøre, men hvis man har fundet en service (som regel telnet) på port 23, så udnytter man det også.

Stop med at løse problemer vha. symptombehandling.

  • more_vert
    • insert_linkKopier link
9
Christian Rutrecht
27. marts 2015 kl. 10:19

Mener også det er en forældet protocol, men den er stadig funktionel og i brug som Lars nævner. Nu er det jo heller ikke fordi at hackere ikke kan udnytte SSH, hvis den port står åben med standard configuration.

Vil mene at det det er op til den enkelte virksomhed, at sikre de sårbare porte er lukkede. Har virksomheden ikke taget de nødvendige tiltag, er det bare ris til egen ***. Det handler i bund og grund om viden, eller at tilkøbe sig de nødvendige kompetencer.

Hvis du glemmer at låse hoveddøren, så kommer leverandøren heller ikke og låser den for dig;

  • more_vert
    • insert_linkKopier link
13
Dennis Rilorin
27. marts 2015 kl. 11:30

Vil mene at det det er op til den enkelte virksomhed, at sikre de sårbare porte er lukkede. Har virksomheden ikke taget de nødvendige tiltag, er det bare ris til egen ***.

Det er ikke kun ris til kundens egen ***, men også til udbyderens, når en kundes usikre Exchange server bliver brugt til at distribuere spam til internettet.

Kundens /30 netsegment er stadig "ejet" af udbyderen og når kundens ip-segment bliver tilmeldt diverse Real-time Blackhole List'er giver det problemer for udbyderen og eventuelle naboer i samme C klasse.

  • more_vert
    • insert_linkKopier link
6
Lars Bjerregaard
27. marts 2015 kl. 09:51

Når man har en "firma bredbåndsaftale" hos Telenor, og får en spritny router fra dem, er telnet login til routeren skam vidt åbent til hele internettet. Det er en aktiv del af deres infrastruktur, som de bruger til remote-diagnose, firmware aflæsning (og opgradering?), mv. Hver time på klokkeslet logger en robot ind fra Telenor, checker lige noget (går jeg ud fra) og logger så ud igen.

Jeg har bla. haft en meget kompetent support tekniker i telefonen, og de kan ikke se problemet, overhovedet. "Det er jo beskyttet af password". Da jeg spurgte om det ville give problemer for dem, hvis jeg lukkede for telnet svarede de "Ja", og de bad mig lade være.

Såehhh, protokollen er muligvis forældet og usikker, men er sandelig i aktiv brug, fra folk der burde vide bedre.

  • more_vert
    • insert_linkKopier link
12
Jimmy Frydkær
27. marts 2015 kl. 11:27

Nu er der så heller ingen, som påstår, at Telenor ved, hvad de laver.

  • more_vert
    • insert_linkKopier link
10
Michael Thomsen
27. marts 2015 kl. 10:46

Når man har en "firma bredbåndsaftale" hos Telenor, og får en spritny router fra dem, er telnet login til routeren skam vidt åbent til hele internettet.

Sådan virkede det også hos Fullrate, da jeg brugte dem for snart en håndfuld år siden. Jeg lukkede for skidtet uden at spørge. På et tidspunkt sendte de en mail om at de ikke kunne opdatere firmwaren i deres modem/router og, at jeg skulle gøre det manuelt. Så de brugte det i hvert fald også!

Iøvrigt er det ikke en fejl i Telnet protokollen. Det er en fejl i telnet implementeringen, at den tillader at man prøver med en masse brugernavne og kodeord. Når man taster forkert et antal gange burde serveren indsætte en pause før næste forsøg.

Samme problem findes med alle mulige andre protokolimplementeringer.

  • more_vert
    • insert_linkKopier link
1
Gert G. Larsen
27. marts 2015 kl. 08:37

Hvornår er det "ok" at ISP'en blokerer for porte, protokoller eller indhold på kundernes linjer?

Kunne det være et tilvalg eller fravalg for den enkelte kunde? Som del af en "sikkerhedspakke".

Jeg ville finde det lidt ubehageligt, hvis min ISP vurderede at nu er telnet, ftp, finger, ntp, http m.fl. usikkert, og forresten er bittorrent farligt, og TOR kun noget for forbrydere.

  • more_vert
    • insert_linkKopier link
4
Mads Bendixen
27. marts 2015 kl. 08:49

Det sker allerede nu, hvor SMTP er blokeret som standard hos flere udbydere og man specifikt skal bede om at få den åbnet.

  • more_vert
    • insert_linkKopier link
8
Peter Jensen
27. marts 2015 kl. 10:02

Jeg synes at blokering af udvalgte porte, fx SMTP og telnet er OK, bare man kan få dem låst op. Almindelige brugere har ikke brug for dem, men det gør livet lettere for malware hvis de er åbne.

Jeg synes ikke det er ok at ISPen blokerer for nogen som helst porte eller andet på forhånd. Ansvaret for sikkerheden på kundens udstyr på kundesiden af routeren er ikke ISPens men ubetinget brugerens ansvar - og sådan skal det retfærdigvis være.

Hvis kunden vil have blokeret for noget må det være efter deres eget aktive ønske. Hvad bliver det næste? Aktiv bestilling af adgang til formodet pornografisk indhold via sin internetforbindelse lige som i UK? Ingen netneutralitet?

Hvis ikke brugerne bliver holdt direkte ansvarlige for deres egen sikkerhed, så lærer de det heller aldrig.

Malware etc er et resultat af brugerens skødesløse adfærd - ikke på grund af manglende blokeringer hos ISPen.

Hvis nogen kunders udstyr generer ISPens net, så må ISPen derimod lukke kundens adgang indtil kunden har taget sig sammen til at få styr på sit udstyr så det ikke generer øvrige brugere.

  • more_vert
    • insert_linkKopier link
16
Tonni Pedersen
1. april 2015 kl. 15:51

Så længe vi taler om professionelle brugere som firmaer mm. er jeg enig i at ansvaret for at lukke porte mm. hviler på brugeren. Når vi taler om private brugere er det noget helt andet. Et forsigtigt gæt, ud fra min egen omgangskreds, vil være at 80% ikke vil ane hvad du taler om, hvis du nævner porte i deres router, der skal lukkes. De samme mennesker vil heller aldrig få brug for en Telnet port, så den skal selvfølgelig være lukket, inden de får udstyret udleveret. De få brugere der så gerne vil holde alle porte åbne, er også i stand til at aftale det med deres ISP.

  • more_vert
    • insert_linkKopier link
11
Simon Mikkelsen
27. marts 2015 kl. 10:59

Jeg synes ikke det er ok at ISPen blokerer for nogen som helst porte eller andet på forhånd. Ansvaret for sikkerheden på kundens udstyr på kundesiden af routeren er ikke ISPens men ubetinget brugerens ansvar - og sådan skal det retfærdigvis være.

Det kunne gøres på mange måder. I dag er det ikke realistisk at sætte almindelige mennesker til at sikre sig.

Men man behøves ikke skulle ind i et kompliceret administrationsinterface for at lukke porte ned. Første gang man logger på, kunne man blive spurgt om man vil være sikker eller man ved hvad man gør. Det kunne også være noget man vælger på ISPens hjemmeside.

Det er ikke noget man skal ringe eller betale for at gøre - enhver skal nemt og uden yderligere omkostninger kunne gøre sin forbindelse helt åben!

Men vi har en situation hvor vi ikke kan smide halvdelen af befolkningen af nettet. Hvis deres routere står med telnet åbne mod nettet og det malware de rager til sig bare kan stå og lege med SMTP, går det ud over os alle.

  • more_vert
    • insert_linkKopier link
15
Henrik Pedersen
27. marts 2015 kl. 13:31

Så vidt jeg husker koster det 1000 kr. +moms hos TDC hvis det ikke er blevet specificeret i ordren (for erhverv).

Yup, og ikke kun "blokerede porte". Det gælder ALLE porte. Prøv du bare at få åbnet port 80 til at tilgå en række overvågningskameraer bag en lokal server. Jeg forsøgte det hos en erhvervskunde jeg havde ,og det endte med de helt droppede den eksterne streaming mulighed fordi de synes det var noget svineri.

Relateret til Telenor. De er en flok skvadder mikler. Jeg havde 11-12 mbit her ude. En dag holder der en tekniker vogn her ude og skruer på et panel foran huset. Pludselig har jeg 5,4 mbi/t. De ved ikke hvad jeg snakker om, når jeg ringer til dem, og de påstår hårdnakket at det er fordi jeg er for langt fra centralen (så vidt jeg ved har de ikke flyttet deres fucking central).

Vi betaler i øvrigt for 10 Mbits. Er det ikke beljelighet at reglen for minimumshastighed byder at de skal levere os minimum 5 Mbits i så fald? Fuck Telenor.

  • more_vert
    • insert_linkKopier link
3
Casper Thomsen
27. marts 2015 kl. 08:47

... for ikke at nævne muligheden for at sætte en honeypot op.

  • more_vert
    • insert_linkKopier link
2
Henrik Svendsen
27. marts 2015 kl. 08:47

Enig ! Jeg mener også at det er at komme ud på et skråplan.

  • more_vert
    • insert_linkKopier link