Af chefkonsulent Preben Andersen, UNI?C, leder af DK-CERT
I december udgjorde scanninger efter proxyservere 3,7 procent af de portscanninger, en dansk firewall blev udsat for.
I februar var tallet mere end fordoblet: Nu gik 8,5 procent af scanningerne efter åbne proxyservere, og tallet holdt sig i marts måned.
Det viser DK-CERT's analyse af logfilerne fra firewallen, der er placeret på den danske del af internettet.
Det engelske ord proxy betyder stedfortræder eller fuldmagt. En proxyserver på et netværk fungerer som stedfortræder mellem brugernes computere og de servere, de kommunikerer med.
Således tager en web-proxyserver imod alle forespørgsler fra brugere, sender dem videre til den ønskede web-server, modtager svaret fra serveren og sender det retur til brugeren.
Når hackere er interesserede i proxyservere, skyldes det som regel muligheden for at sløre sine spor. Hvis man sender sine kommandoer gennem en proxyserver, ser det ud, som om proxyserveren er ansvarlig for dem.
Spam uden afsenderadresse
På det seneste er proxyservere blevet populære blandt afsendere af spam (uønskede reklamer via e-post). De ønsker at skjule deres spor, da de færreste internetudbydere tillader, at man bruger sin konto til at udsende spam.
Angriberne er interesserede i de såkaldte åbne proxyservere. Det er servere, der er konfigureret på en usikker måde.
For eksempel kan en proxyserver være sat op til at tillade, at enhver bruger på internettet kan anvende den.
Sårbare web-proxyservere
Der findes proxyserverprogrammer til mange former for internetkommunikation. Langt de mest udbredte er web-proxyserverne.
De sørger for kommunikationen mellem browsere og web-servere. Men funktionen "HTTP Connect" gør, at de også kan videresende kommandoer til andre serverprogrammer.
En åben proxyserver med HTTP Connect kan således bruges til at sende spam med, idet afsenderen lader den forbinde sig til en postserver. Dermed kan ejeren af proxyserveren blive beskyldt for at udsende spam, skønt han intet har vidst om misbruget.
Traditionelt har proxyservere lyttet på nogle få TCP-porte, heriblandt 1080 og 8080. Firewallstatistikken viser, at der nu er dukket nye porte op.
I december var der næsten ingen scanninger efter port 4480 og 6588. Men i marts udgjorde de en tredjedel af alle scanninger efter proxyservere. De to porte anvendes af henholdsvis Proxy+ og Analogx. Det er to nyere proxyserverprogrammer.
Når der nu kommer så mange scanninger efter disse programmer, skyldes det sikkert, at deres porte er skrevet ind i de værktøjer, som spam-afsenderne benytter i deres jagt på åbne proxyservere. Tallet siger derimod ikke noget om, hvor mange proxyservere der reelt er sårbare.
DK-CERT (www.cert.dk) er det danske Computer Emergency Response Team. I samarbejde med tilsvarende CERT'er over hele verden indsamler DK-CERT information om internetsikkerhed. DK-CERT udsender advarsler og tager imod anmeldelser af sikkerhedsrelaterede hændelser på internettet.
Preben Andersen opdaterer den sidste fredag i hver måned Computerworlds læsere med de seneste tendenser inden for it-sikkerhed.
Relevante links
