Finden und Sichern von FTP-Sites mit Censys
Das File Transfer Protocol (FTP) ist eine der beliebtesten traditionellen Methoden, um Dateien von einem Computer auf einen anderen zu übertragen. Während FTP-Sites für einige Unternehmen nützlich sind, um Dateien zu senden und zu empfangen, z. B. Entwürfe oder sogar Kundendaten, werden sie auch schnell zu einem leichten Ziel für Angreifer. Die wichtigsten Sicherheitsprobleme, die bei FTP-Sites auftreten, sind die Verwendung von Klartext-Anmeldedaten und Dateiübertragungen sowie das Fehlen von Dateiintegritätsprüfungen. FTP-Sites können für Angreifer ein einfaches Einfallstor für den Zugriff auf Unternehmenssysteme darstellen.
Zusätzlich zu den üblichen Fehlkonfigurationen von FTP-Sites tragen die über sie ausgetauschten Dateien und Daten oft zu den Sicherheitsrisiken bei. In vielen Unternehmen nutzen eine Vielzahl interner Abteilungen FTP-Sites, während sie mit externen Auftragnehmern und anderen Dritten zusammenarbeiten, ohne dass das interne Sicherheits- und/oder IT-Team eine angemessene Aufsicht ausübt. Diese Teams tauschen alle möglichen Arten von Informationen zwischen dem Unternehmen und den Auftragnehmern und Drittanbietern aus, die unterschiedlich sensibel sind - denken Sie nur daran, dass Ihr Unternehmen mit einem Auftragnehmer zusammenarbeitet, der Personaldaten bearbeitet, oder sogar mit einem Designteam, das vor der Markteinführung vertrauliche Informationen über Produktmerkmale austauscht. Auch wenn die Absicht in der Regel unschuldig genug ist, müssen diese unseriösen FTP-Sites genauso gut gesichert werden wie jedes andere System in Ihrem Unternehmen. Der erste Schritt besteht darin, sie ausfindig zu machen.
Angreifer verwenden viele frei verfügbare Tools, um FTP-Sites im Internet ausfindig zu machen und dann festzustellen, welche davon Administrator-Logins verwenden oder aufgrund von Fehlkonfigurationen überhaupt keine Anmeldedaten erfordern. Um Ihre Gegner nicht direkt auf diese Tools zu verweisen, lassen wir es dabei bewenden, aber die Lektion, die Sie hier mitnehmen sollten, ist, dass Sie immer einen Schritt voraus sein sollten und dass Sie FTP-Bannergrabber verwenden können, um die Sites zu finden, die mit Ihrer Organisation verbunden sind, damit Sie sicherstellen können, dass sie mit starker Authentifizierung gesichert und korrekt konfiguriert sind.
Wir raten Unternehmen, für die gemeinsame Nutzung von Dateien den Umstieg auf in der Cloud gehostete Dienste zu erwägen, die über integrierte Sicherheitstools verfügen - Box und Dropbox sind typische Beispiele. Die Cloud-basierten Produkte bieten starke Verschlüsselung, Autorisierung, einfache Konfiguration und Nutzung und vieles mehr - alles integriert. Zusätzlich zu den Sicherheitsfunktionen, die diese Tools bieten, werden sie auch dafür gelobt, dass sie für technisch nicht versierte Benutzer einfach sind (wohl einfacher als FTP-Sites).
Reale Angriffe im Zusammenhang mit FTP-Servern
Im März 2017 gab das FBI eine Warnung an die Gesundheitsbranche vor aktiven Angriffen auf FTP-Sites heraus. Die Warnungen folgten auf Berichte über Angriffe auf FTP-Server in Organisationen des Gesundheitswesens, die insbesondere im anonymen Modus ausgeführt wurden. Leider haben trotz dieser Warnungen nicht alle Organisationen die notwendigen Ressourcen bereitgestellt und geeignete Sicherheitsmaßnahmen ergriffen, um FTP-Angriffe zu verhindern.
Ein Beispiel: Im Mai 2018, mehr als ein Jahr nach der FBI-Warnung, gab ein Anbieter von Praxismanagement-Software namens MedEvolve aufgrund eines falsch konfigurierten FTP-Servers versehentlich 205.000 Patientendaten preis. In diesem Fall erforderte die angegriffene FTP-Site keinerlei Anmeldedaten. Dies wirft die Frage auf, wie eine FTP-Site überhaupt eingerichtet werden konnte, ohne dass ein Administrator-Login erforderlich war. Man könnte argumentieren, dass zumindest ein Standard-Benutzername und ein Kennwort erforderlich sein sollten, anstatt die Sicherheit vollständig dem Benutzer aufzubürden, aber letztendlich hinterließ der Fehlkonfigurationsfehler bei MedEvolve eine klaffende Sicherheitslücke, die Angreifer ausnutzten.
Das Unternehmen hat so verantwortungsvoll wie möglich auf die Angriffe reagiert und Anbieter, Kunden und Partner gewarnt, aber natürlich war der Schaden bereits angerichtet. Lassen Sie uns also zumindest aus ihren Erfahrungen lernen und sicherstellen, dass wir nicht als nächstes in die Schlagzeilen geraten, oder?
Wie man FTP-Banner-Grabber verwendet, um unbekannte und/oder ungesicherte FTP-Sites von Unternehmen zu finden
Als Teil unserer globalen IPv4-Scans scannt Censys schon seit Jahren nach FTP (TCP-Port 21) und bietet darüber hinaus Informationen über Banner-Grabbing. Grundsätzlich versucht Censys nicht, sich anzumelden, so dass wir auch keine Dateilisten erfassen. Für die Benutzer bedeutet dies, dass sie sich auf die Banner-Informationen über die Host-Netzwerkinformationen oder die zugehörigen Webseiten verlassen müssen, um nach interessanten FTP-Servern zu suchen.
Der beste Weg, FTP-Banner-Grabber zu verwenden, um FTP-Sites zu finden, die mit Ihrem Unternehmen in Verbindung stehen, ist die Suche nach dem Index 21.ftp.banner. Hier sind ein paar Beispiele für die Suche nach bekannten Unternehmensnamen in den Bannern:
https://censys.io/ipv4?q=21.ftp.banner.banner%3A+ebay
https://censys.io/ipv4?q=21.ftp.banner.banner%3A+ikea
https://censys.io/ipv4?q=21.ftp.banner.banner%3A+netflix
Mit der Kartenoption innerhalb der Suchergebnisse können Sie schnell feststellen, ob es FTP-Sites gibt, die mit Ihrem Unternehmen verbunden sind und die sich in Bereichen befinden, die Sie nicht erwarten würden (z. B. an Orten, an denen Sie keine Büros oder Außendienstmitarbeiter haben) usw. Bei FTP-Servern, die Ihren Firmennamen verwenden, aber nicht an einem Ort stehen, an dem Sie geschäftlich tätig sind, sollten Sie die Alarmglocken läuten lassen.
Was ist zu tun, wenn Sie bisher unbekannte FTP-Sites entdecken?
Wenn Sie unerwartete FTP-Sites mit Ihrer Organisation im Banner finden, prüfen Sie, ob ein interner Mitarbeiter oder ein Team die Site für ein Projekt erstellt hat.
Wenn die FTP-Site von außerhalb Ihrer Organisation zu stammen scheint oder irgendetwas verdächtig aussieht, werfen Sie einen Blick auf die WhoIS-Informationen zu jedem Suchergebnis, um festzustellen, ob die Site für legitime Zwecke erstellt wurde (z. B. von einer Drittpartei, die mit jemandem in Ihrer Organisation zusammenarbeitet).
Absicherung der FTP-Sites Ihres Unternehmens
Wenn Sie in den Suchergebnissen einige FTP-Sites entdecken, die Ihrer Organisation gehören, achten Sie auf eine angemessene Sicherheitshygiene:
- Erfordernis starker Anmeldedaten
- Erzwingen einer Zwei-Faktor-Authentifizierung
- Verwaltung von Authentifizierungs- und Autorisierungsnachweisen als Teil Ihres IAM-Programms, um sicherzustellen, dass die Mitarbeiter ordnungsgemäß freigestellt werden
- Protokollierung von Authentifizierungsversuchen in Ihrer Standard-Protokollierungsinfrastruktur
- Beschränkung der Personen, die Dateien hochladen und lesen können; nur autorisierte interne Benutzer sollten Dateien zur Verteilung hochladen dürfen, und von Dritten hochgeladene Dateien sollten für Dritte nicht zugänglich sein.
- Isolierung von FTP-Sites, damit Angreifer im Falle eines unbefugten Zugriffs nicht von der FTP-Site auf andere Bereiche des Unternehmens übergreifen können (insbesondere Kunden-/Klientendaten, Finanzinformationen und Zahlungssysteme usw.)
Denken Sie daran, dass Sie idealerweise alternative Dateifreigabeoptionen in Betracht ziehen sollten, die sicherer sind als herkömmliche FTP-Sites, z. B:
- Verwaltete Dateiübertragungssysteme (MFT)
- Webbasierte Software-as-a-Service (SaaS)-Lösungen, wie Dropbox, Box usw.
- Software zur sicheren Dateiübertragung (SFTP)
