Stor stigning i hackerangreb mod forældet protokol

Illustration: Virrage Images/Bigstock
Internetudbydere bør lukke port 23 for at beskytte kunderne, lyder det fra it-sikkerhedsekspert. Protokollen bliver stort set ikke brugt længere, men bliver i stigende grad misbrugt af hackere.

Hackere benytter sig i stigende grad af en forældet internetprotokol til at skaffe sig adgang til folks brugernavne og kodeord på nettet.

Sådan lyder en af konklusionerne på rapporten ‘State of the Internet’ fra den amerikanske cloudtjeneste-udbyderen Akamai.

32 pct. af trafikken fra hackerangreb gik igennem port 23 Telnet i fjerde kvartal af 2014 ifølge rapporten, hvilket er en markant stigning fra 12 pct. i tredje kvartal samme år.

Det overrasker it-sikkerhedsekspert og direktør for Solido Networks, Henrik Kramshøj:

»Den burde faktisk slet ikke eksistere på internettet, for det er en oldgammel protokol,« siger han til Version2.

Telnet er en ukrypteret standard, der blev udviklet i 1969 og brugt til terminal konsol adgang over netværk. I dag er den dog for det meste erstattet af Secure Shell (SSH), som er krypteret. Når hackerne benytter sig af Telnet, så gør det blandt andet arbejdet lettere med at udføre såkaldte brute force angreb, hvor de finder frem til folks brugernavne og kodeord ved at blive ved med at prøve forskellige kombinationer af.

Det foregår typisk ved, at en bot scanner efter forbindelser, hvor port 23 er åben, og så derefter forsøger at logge ind på den. Derfor kan den stigende brug af Telnet blandt hackere også være et tegn på, at brute force-angreb bliver mere udbredt ifølge rapporten.

Telnet kan stadig blive brugt af ældre adsl-routere og lignende udstyr ifølge Henrik Kramshøj, der også opdagede at firmaet CSC i sommers havde en gammel Solaris-maskine tændt med Telnet stående åben ud til internettet.

Men ellers er protokollen »så godt som død, og burde have været det for 15 år siden«, ifølge Henrik Kramshøj.

Af samme grund opfordrer han alle internetudbyderne til at blokere for port 23, så hackerne ikke længere kan udnytte den.

»Det er en god idé at gøre det, så man undgår, at kunder der har Telnet stående med default password bliver hacket,« siger Henrik Kramshøj.

Forældet protokol hitter blandt kinesiske hackere

Telnet er især en populær indgang for kinesiske hackere, viser rapporten fra Akamai.

Her er port 23 involveret i over halvdelen af trafikken fra hackerangreb, hvilket er tæt på seks gange så meget som den næstmest populære blandt hackerne.

Det er endnu uklart, hvad der præcis er årsagen til, at porten lige pludselig er blevet så populære blandt hackere.

Noget tyder dog på, at antallet af hackergrupper er stigende ifølge Henrik Kramshøj.

I alt stod angrebene mod de ti mest populære porte blandt hackerne for 79 pct. af angrebstrafikken i fjerde kvartal, hvilket er mere end en fordobling i forhold til kvartalet før, hvor portene stod for 38 pct. Med andre ord er det blevet mere populært blandt hackerne at koncentrere sig om de mest populære porte.

»Det tyder på, at der er en stigning af grupper, som sætter systemer op og scanner efter det her,« siger Henrik Kramshøj og fortsætter:

»De koncentrerer sig om der, hvor de kan finde de lavthængende frugter. Der er mange, som kæmper om de samme mål, og de kommer ofte fra Kina og USA.«

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (16)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Gert G. Larsen

Hvornår er det "ok" at ISP'en blokerer for porte, protokoller eller indhold på kundernes linjer?

Kunne det være et tilvalg eller fravalg for den enkelte kunde? Som del af en "sikkerhedspakke".

Jeg ville finde det lidt ubehageligt, hvis min ISP vurderede at nu er telnet, ftp, finger, ntp, http m.fl. usikkert, og forresten er bittorrent farligt, og TOR kun noget for forbrydere.

  • 25
  • 1
Simon Mikkelsen

Det sker allerede nu, hvor SMTP er blokeret som standard hos flere udbydere og man specifikt skal bede om at få den åbnet.

Jeg synes at blokering af udvalgte porte, fx SMTP og telnet er OK, bare man kan få dem låst op. Almindelige brugere har ikke brug for dem, men det gør livet lettere for malware hvis de er åbne.

Tor og Bittorrent er ikke i sig selv usikre, så de bør ikke blokeres.

  • 13
  • 1
Lars Bjerregaard

Når man har en "firma bredbåndsaftale" hos Telenor, og får en spritny router fra dem, er telnet login til routeren skam vidt åbent til hele internettet. Det er en aktiv del af deres infrastruktur, som de bruger til remote-diagnose, firmware aflæsning (og opgradering?), mv. Hver time på klokkeslet logger en robot ind fra Telenor, checker lige noget (går jeg ud fra) og logger så ud igen.

Jeg har bla. haft en meget kompetent support tekniker i telefonen, og de kan ikke se problemet, overhovedet. "Det er jo beskyttet af password". Da jeg spurgte om det ville give problemer for dem, hvis jeg lukkede for telnet svarede de "Ja", og de bad mig lade være.

Såehhh, protokollen er muligvis forældet og usikker, men er sandelig i aktiv brug, fra folk der burde vide bedre.

  • 14
  • 1
Peter Jensen

Jeg synes at blokering af udvalgte porte, fx SMTP og telnet er OK, bare man kan få dem låst op. Almindelige brugere har ikke brug for dem, men det gør livet lettere for malware hvis de er åbne.


Jeg synes ikke det er ok at ISPen blokerer for nogen som helst porte eller andet på forhånd. Ansvaret for sikkerheden på kundens udstyr på kundesiden af routeren er ikke ISPens men ubetinget brugerens ansvar - og sådan skal det retfærdigvis være.

Hvis kunden vil have blokeret for noget må det være efter deres eget aktive ønske. Hvad bliver det næste? Aktiv bestilling af adgang til formodet pornografisk indhold via sin internetforbindelse lige som i UK? Ingen netneutralitet?

Hvis ikke brugerne bliver holdt direkte ansvarlige for deres egen sikkerhed, så lærer de det heller aldrig.

Malware etc er et resultat af brugerens skødesløse adfærd - ikke på grund af manglende blokeringer hos ISPen.

Hvis nogen kunders udstyr generer ISPens net, så må ISPen derimod lukke kundens adgang indtil kunden har taget sig sammen til at få styr på sit udstyr så det ikke generer øvrige brugere.

  • 9
  • 2
Christian Rutrecht

Mener også det er en forældet protocol, men den er stadig funktionel og i brug som Lars nævner. Nu er det jo heller ikke fordi at hackere ikke kan udnytte SSH, hvis den port står åben med standard configuration.

Vil mene at det det er op til den enkelte virksomhed, at sikre de sårbare porte er lukkede. Har virksomheden ikke taget de nødvendige tiltag, er det bare ris til egen ***. Det handler i bund og grund om viden, eller at tilkøbe sig de nødvendige kompetencer.

Hvis du glemmer at låse hoveddøren, så kommer leverandøren heller ikke og låser den for dig;

  • 3
  • 0
Michael Thomsen

Når man har en "firma bredbåndsaftale" hos Telenor, og får en spritny router fra dem, er telnet login til routeren skam vidt åbent til hele internettet.


Sådan virkede det også hos Fullrate, da jeg brugte dem for snart en håndfuld år siden. Jeg lukkede for skidtet uden at spørge. På et tidspunkt sendte de en mail om at de ikke kunne opdatere firmwaren i deres modem/router og, at jeg skulle gøre det manuelt. Så de brugte det i hvert fald også!

Iøvrigt er det ikke en fejl i Telnet protokollen. Det er en fejl i telnet implementeringen, at den tillader at man prøver med en masse brugernavne og kodeord. Når man taster forkert et antal gange burde serveren indsætte en pause før næste forsøg.

Samme problem findes med alle mulige andre protokolimplementeringer.

  • 5
  • 0
Simon Mikkelsen

Jeg synes ikke det er ok at ISPen blokerer for nogen som helst porte eller andet på forhånd. Ansvaret for sikkerheden på kundens udstyr på kundesiden af routeren er ikke ISPens men ubetinget brugerens ansvar - og sådan skal det retfærdigvis være.

Det kunne gøres på mange måder. I dag er det ikke realistisk at sætte almindelige mennesker til at sikre sig.

Men man behøves ikke skulle ind i et kompliceret administrationsinterface for at lukke porte ned. Første gang man logger på, kunne man blive spurgt om man vil være sikker eller man ved hvad man gør. Det kunne også være noget man vælger på ISPens hjemmeside.

Det er ikke noget man skal ringe eller betale for at gøre - enhver skal nemt og uden yderligere omkostninger kunne gøre sin forbindelse helt åben!

Men vi har en situation hvor vi ikke kan smide halvdelen af befolkningen af nettet. Hvis deres routere står med telnet åbne mod nettet og det malware de rager til sig bare kan stå og lege med SMTP, går det ud over os alle.

  • 6
  • 1
Dennis Rilorin

Vil mene at det det er op til den enkelte virksomhed, at sikre de sårbare porte er lukkede. Har virksomheden ikke taget de nødvendige tiltag, er det bare ris til egen ***.

Det er ikke kun ris til kundens egen ***, men også til udbyderens, når en kundes usikre Exchange server bliver brugt til at distribuere spam til internettet.

Kundens /30 netsegment er stadig "ejet" af udbyderen og når kundens ip-segment bliver tilmeldt diverse Real-time Blackhole List'er giver det problemer for udbyderen og eventuelle naboer i samme C klasse.

  • 3
  • 0
Peter Christiansen

Helt uenig i at isp skal lukke porte,
det er kundens ansvar at hans it system er sikret.

Desuden kan jeg ikke se hvorfor det skulle være mere
attraktivt at prøve at bruteforce en telnet service
end en ssh, (med mindre ssh daemonen er sat op til
kun at tillade login via certifikat).

Telnet er een af mange services og selvfølgelig
prøver de at bruteforce sig adgang hvis port 23 er
åben. Det kunne dog tænkes at man ville køre noget
andet på port 23 end en telnet service og det skal
isp'en ikke blande sig i.

Det minder mig om TDC's idiotiske politik med at man
ikke må connecte til en smtp server på port 25 (der ikke er deres),
fra deres net.

Solution, sæt din eksterne mail server til at lytte på
en anden port udover standard porten.

Konklusion, hvis du vil køre telnet, hvis de lukker port 23,
sæt service op til at lytte på en anden port.

Ellers hvis du er træt af brute force forsøg ( som også sker
ofte med ssh), sæt regler op i din firewall til at blokere
ip'er, ved f.eks 3 forkerte forsøg og rate limit antallet af
samtidige forbindelser => fixed.

Og slutteligt sørg for at have gode passwords.

Hvis du kan lide telnet, vær opmærksom på at trafikken og login/pass
sendes i klartekst over nettet.

Hvis din router der hjemme står med åben telnet port til
et obskurt administrations interface, er det din udbyders
ansvar sammen med producenten at patche udstyret og få
lukket. Der er IKKE en løsning at lukke for adgang til en
speciel port.

"Telnet er især populær blandt kinesiske hackere" =>
Nej telnet er især popular FORDI der kører en telnet
service på porten og at angrebs ip'en er kinesisk, gør
ikke at hackeren er kinesisk.

Det har ikke en fis med popularitet at gøre, men hvis
man har fundet en service (som regel telnet) på port 23,
så udnytter man det også.

Stop med at løse problemer vha. symptombehandling.

  • 6
  • 0
Henrik Pedersen

Så vidt jeg husker koster det 1000 kr. +moms hos TDC hvis det ikke er blevet specificeret i ordren (for erhverv).

Yup, og ikke kun "blokerede porte". Det gælder ALLE porte. Prøv du bare at få åbnet port 80 til at tilgå en række overvågningskameraer bag en lokal server. Jeg forsøgte det hos en erhvervskunde jeg havde ,og det endte med de helt droppede den eksterne streaming mulighed fordi de synes det var noget svineri.

Relateret til Telenor. De er en flok skvadder mikler. Jeg havde 11-12 mbit her ude. En dag holder der en tekniker vogn her ude og skruer på et panel foran huset. Pludselig har jeg 5,4 mbi/t. De ved ikke hvad jeg snakker om, når jeg ringer til dem, og de påstår hårdnakket at det er fordi jeg er for langt fra centralen (så vidt jeg ved har de ikke flyttet deres fucking central).

Vi betaler i øvrigt for 10 Mbits. Er det ikke beljelighet at reglen for minimumshastighed byder at de skal levere os minimum 5 Mbits i så fald? Fuck Telenor.

  • 1
  • 1
Tonni Pedersen

Så længe vi taler om professionelle brugere som firmaer mm. er jeg enig i at ansvaret for at lukke porte mm. hviler på brugeren. Når vi taler om private brugere er det noget helt andet. Et forsigtigt gæt, ud fra min egen omgangskreds, vil være at 80% ikke vil ane hvad du taler om, hvis du nævner porte i deres router, der skal lukkes. De samme mennesker vil heller aldrig få brug for en Telnet port, så den skal selvfølgelig være lukket, inden de får udstyret udleveret. De få brugere der så gerne vil holde alle porte åbne, er også i stand til at aftale det med deres ISP.

  • 0
  • 0
Log ind eller Opret konto for at kommentere