1.184.169.
Så mange gange har kinesiske IP-adresser i det forgangne år hamret på kundernes FTP-døre hos en af Danmarks største hostinguydbydere, DanDomain, der servicerer godt 10 procent af én million danske .dk-adresser.
Det er omkring fire gange så mange forsøg fra nummer to på listen, USA, over de lande, som forsøger at komme ind på danske FTP-servere med ufine metoder.
For ifølge DanDomain er der ikke tale om hyggevisiter fra Riget i Midten, men derimod kyniske kinesiske forsøg på at tiltuske sig adgang til folks og virksomheders filer, da angreb på FTP-serverne stadig er en yndet og yderst brugt invasionsmetode blandt it-kriminelle.
Porten til de saftige filer
Via file transfer-protokollen kan de nemlig komme direkte ind til store mængder data, hvor der kan ligge saftige forretningshemmeligheder og porte til andre netværk.
Dandomain definerer et angreb som en klient, der logger på FTP-serveren fra et andet land, end det kunden har givet adgang til - eller logger på med forkert brugernavn og password.
Her er det værd at bemærke, at grundet de mange angreb på FTP-servere har DanDomain som standardindstilling simpelthen lukket for FTP-adgangen fra alle andre lande end Danmark og vores nordiske broderlande.
Det betyder, at kunderne selv aktivt skal lukke op for FTP-adgangen fra lande som Kina og USA, hvilket altså ikke har været tilfældet i de 1.84.169 kinesiske eller i de 331.105 amerikanske angrebsforsøg på danske FTP-servere.
Vi har glemt gamle dyder
Mens angrebene på danske FTP-servere altså skal tælles i millioner på årlig basis, er den dårlige nyhed så, at danske privatbrugere og virksomheder slækker på FTP-sikkerheden, ifølge sikkerhedsekspert Ulf Munkedal fra it-sikkerhedsselskabet Fort Consult.
Han har gennemført flere angrebstests med store danske selskabers FTP-servere - og på disse øvelser flere gange sluppet af sted med fortrolige filer.
"Tidligere var FTP-adgangene meget usikre og åbne, og der var mange tilfælde, hvor folk og firmaer fik stjålet filer. Siden fik folk mere styr på firewalls og andre sikkerhedskonfigurationer, men nu er tendensen faktisk, at brugerne er ved at glemme de gamle FTP-dyder," siger Ulf Munkedal.
Derfor er det som at stjæle slik fra børn
Han nævner, at der er flere ting, man skal huske på, når man skal sætte hængelås på sin FTP-server, som det samtidig skal være nemt for medarbejdere at uploade til og downloade filer fra.
"At ens fortrolige filer blot ligger bag brugernavn og password på FTP-serveren, behøver ikke at være en sikkerhedsrisiko i sig selv, så længe man har foretaget en solid risikovurdering. Et langt større problem er, at dit brugernavn og password nemt kan sniffes," lyder det fra Ulf Munkedal.
Som at stjæle slik fra børn
Sikkerhedseksperten forklarer, at når man indtaster brugernavn og password for at få adgang til en FTP-server, vil brugernavnet og passwordet blive sendt i klartekst over netværket, hvilket nemt kan opsnappes.
"Faktisk er det som at stjæle slik fra børn," lyder det fra Ulf Munkedal.
Han foreslår derfor, at du benytter SFTP (Secure Shell File Transfer Protocol), hvor brugernavn, password og andre data er krypterede og derfor ikke bare lige kan opsnappes.
Kig på passive mode
Dernæst peger han på, at default-indstillingen typisk er, at en FTP-server kører i active mode, hvor FTP-serveren forbinder sig til klienten, når der skal overføres data.
"Dette kan være et problem for brugerens firewalls og filtrerende routere, som i dagens verden ikke vil tillade trafik fra FTP-serveren, som typisk står på internettet, og direkte ind til FTP-klienten, der for eksempel befinder sig på et internt netværk," forklarer Ulf Munkedal.
Han fortæller, at tidligere var det ikke unormalt, at der var åbnet i filtrerende routere og gamle firewalls til eksempelvis alle porte over 1024 for at tillade indadgående trafik fra FTP-servere, hvilket efterlod et stort sikkerhedsmæssigt problem, da flere porte end nødvendigt stod åbne.
"Derfor kan FTP-klienten vælge at skifte til passive mode, hvor FTP-serveren bliver bedt om at sende et port-nummer, som FTP-klienten kan forbinde sig til, og dette bør supporteres af FTP-serveren," siger Ulf Munkedal.
Hans råd i denne sammenhæng er, at FTP-serveren og ens egne firewalls sættes op til i realtid til kun at tillade indgående data-forbindelser fra den præcise IP-adresse, som den pågældende FTP-klient har og til den præcise port som den pågældende FTP-server har åbnet for FTP-klienten.
"Heldigvis gør mange moderne FTP-servere og firewalls dette automatisk i dag som default, men tidligere var det et problem i begge ender af en FTP-kommunikation, fordi firewalls/routere og FTP-servere skulle supportere både active og passive mode," tilføjer Ulf Munkedal.
Glem alt om password1
En tredje nyklassisk sikkerhedsbrist i omgangen med FTP-servere er valget af brugernavn og password.
Her er det ikke godt nok med 'admin' og 'password1', som er blandt de mest benyttede passwords i verden.
Kinesiske it-kriminelle er helt anderledes end de andre
Det bør ifølge sikkerhedseksperten være et password med minimum otte tegn, store og små bogstaver samt tal og specialtegn.
Her kan du læse en guide til skudsikre password.
"Hvis det drejer sig om maskinoverførsler af filer, vil jeg anbefale, at man bruger så lange brugernavne og passwords som muligt. Hvis det er manuelle overførsler, så skal man selvfølgelig informere alle interessenter, der bruger FTP'en, om dette," siger Ulf Munkedal.
Han har endnu et godt råd, hvis du skal sørge for at låse godt af for uvedkommende, og det går på, at din FTP-server skal være dedikeret til FTP-filer og ikke blandes sammen med mailservere og andre servere på det samme jern.
"Hvis de it-kriminelle kan komme igennem din mailserver i et blandet miljø, så vil de jo også have adgang til FTP-serverens filer," lyder ræsonnementet.
Kina er helt anderledes
Sikkerhedsekspert Ulf Munkedal nævner også, at han snildt kan genkende hostingvirksomheden DanDomains påstande om, at kinesiske angreb mod FTP-serverne er anderledes end fra andre steder.
For kineserne er tilsyneladende mere underspillede end eksempelvis mellemøstlige defacement-kampagner med internet-graffiti, da kineserne ikke umiddelbart gør andet end at installere en bagdør hos brugerne.
"Kinesiske it-kriminelle går også i stor stil efter almindelige brugeres pc'er, hvor de er interesserede i datamængderne og netværksadgang til eksempelvis FTP. Det er derfor supersvært for store virksomheder at holde styr på alle medarbejdere og deres pc'er," siger Ulf Munkedal.
Han mener, at de mange data fra vestlige pc'er og FTP-servere bliver sendt tilbage østpå og brugt i en slags 'big data-indsamling på det sorte marked'.
"De kinesiske it-kriminelle er tilsyneladende meget mere tålmodige end andre steder, når de har tid til at bearbejde de enorme datamængder, som ingen rigtig taler om," lyder det fra sikkerhedseksperten.
DanDomain fortæller til Computerworld, at selskabet har kigget på de maskiner, der tegner sig for over én million årlige angrebsforsøg mod FTP-servere i DanDomains datacenter.
Disse maskiner har ingen åbne porte, hvilket indikerer, at maskinerne rent fysisk befinder sig i Kina.
Læs også:
Sådan får du skudsikre passwords til mail og Facebook
