Providers waarschuwen klanten met openstaande ftp-servers - update

De meeste internetproviders hebben klanten gewaarschuwd als zij een anonieme ftp-server aan het internet hebben gekoppeld. In veel gevallen doen ze dat namelijk niet expres, en zijn gevoelige privégegevens door configuratiefouten toegankelijk.

De providers hebben gebruikers gewaarschuwd nadat tv-programma Avrotros Opgelicht het probleem op het spoor kwam. Opgelicht, dat dinsdagavond een uitzending wijdt aan het probleem, ontdekte dat duizenden internetgebruikers, bedrijven en instellingen een anonieme ftp-server aan internet hadden gekoppeld. Op die servers stonden vaak gevoelige privédocumenten, zoals scans van paspoorten.

Het probleem wordt verergerd door het bestaan van ftp-zoekmachines, waarmee op openstaande ftp-servers naar bestanden kan worden gezocht. Op die manier zijn privégegevens op ftp-servers eenvoudig te vinden, met een zoekopdracht als 'paspoort' of 'begroting'.

Alle grote Nederlandse providers, waaronder Ziggo en KPN, hebben getroffen klanten de afgelopen dagen benaderd. In veel gevallen hebben gebruikers de servers namelijk niet expres opengezet. Het probleem treedt op als gebruikers een netwerkschijf met een anonieme ftp-server hebben gekoppeld aan een router die het verkeer doorsluist, bijvoorbeeld doordat gebruikers met de upnp-instellingen hebben lopen knoeien. De ftp-server kan er dan voor zorgen dat port 21 wordt opengezet. Op sommige routers staat deze optie zelfs standaard ingeschakeld.

Update, 09:30: Anders dan gemeld gaat Opgelicht geen netwerkschijven bij naam noemen die slecht zijn beveiligd. Ook ontkent het programma dat het heeft geprobeerd om de providers port 21 te laten sluiten. Het artikel is hierop aangepast.

Door Joost Schellevis

Redacteur

26-05-2015 • 08:40

96 Linkedin

Reacties (96)

96
94
75
0
0
0
Wijzig sortering
"In veel gevallen doen ze dat niet expres". Wat moet ik hier onder verstaan. De ftp poort staat niet standaard open op een router. En ik weet niet hoe het op Windows zit maar op een mac moet je de ftp server ook handmatig aanzetten.
Het is niet volledig ondenkbaar dat een FTP server het UPnP (Universal Plug 'n Play) protocol in een router (welke vaak standaard aan staat, in ieder geval op de routers/modems welke ik van mijn provider kreeg) gebruikt, zeker als dit malafide FTP servers zijn welke door aanvallers zijn geïnstalleerd.

Over het algemeen zal dit niet vaak voor komen, maar zullen mensen onwetend echter wel eens gehoord hebben van moeten port-forwarden zoals dit op een aantal support forums word genoemd om hun FTP'tje toegankelijk te maken zonder hier de gevolgen van te overzien, en dit dan niet correct te beveiligen. Weten wat je doet en de gevolgen hiervan overzien ligt iets dieper dan alleen weten waar je moet klikken als gebruiker.
Toch wel kwalijke zaak die UPnP. Vooral als een NAS dit standaard gebruikt. Je mag verwachten dat mensen die een NAS kopen ook zelf wel weten hoe ze de poorten open moeten zetten.
Klopt. Ik heb zelf ook een Nas. En met mijn vorige modem/router van KPN was poortforwarding echt onmogelijk in te stellen. Het werkte gewoon niet.
Via upnp werkte het meestal wel dus dat was dan de oplossing.
Met het huidige modem geen probleem mee.

Ook veel games hebben upnp nodig dus het uitzetten doe ik nog niet
Vroeger was dit het geval inderdaad, maar tegenwoordig heb je zoveel instaptoestelletjes die met 5 klikken in te stellen zijn (inclusief toegang via het web) dat dat helemaal niet meer het geval is. De grootste leek onder de leken kan het als het ware.
Op zich ook geen echt probleem want dat maakt het een pak toegankelijker, ware het niet dat niet alle fabrikanten voldoende vaak updates uitsturen voor extra beveiliging (of de user installeert ze niet) en dat redelijk wat systemen out of the box gewoon geen beveiliging hebben.
Je kan die dingen voor nog geen €100 bij de Mediamarkt kopen en de fabrikanten doen er alles aan om het zo makkelijk mogelijk te maken. Ze hebben liever een makkelijk apparaat dat iedereen kan gebruiken dan een veilig apparaat waar je wat kennis voor nodig hebt.

Het hele UPnP is er ook een voorbeeld van. Liever makkelijk dan veilig. Ik snap het ook wel maar het is wel frustrerend.
Dat een NAS dit kan doen is op zich niet zo erg, maar dat een nas dat standaard doet wel. Als je dit met UPnP zou willen doen zou dat via de NAS moeten en de nas moet dan ook aangeven wat de gevolgen zijn voordat je bevestigd.

Het portforwarden is soms wel een beetje ingewikkeld als je een lastig te configureren modem hebt en niet zeker kunt zijn dat alle apparaten altijd hetzelfde interne IP-adres hebben.
Bij veel gebruikers staat upnp aan. En een Synology kan bijvoorbeeld zelf de poorten regelen van de router.

Dus de poort staat niet standaard open maar kan wel makkelijk zonder dat de gebruiker het door heeft open gezet worden.


https://www.synology.com/en-us/compatibility/router

[Reactie gewijzigd door hhoekstra op 26 mei 2015 08:48]

Daarom raad ik al jaren aan om dat soort dingen uittezetten, want ja anders krijg je dus dit soort dingen door achterhaalde upnp services.
upnp afraden om dat een nasje dat je koopt zijn zaakjes niet op orde heeft, is roepen dat ip6 onveilig is omdat NAT niet meer bestaat... voor een leek lijkt het misschien te kloppen, maar in werkelijkheid staat het de plank totaal mis..

het hele punt is natuurlijk dat je nasje wel eerst even toestemming aan jou moet vragen of zijn upnp-client wel toegang tot het netwerk moet vragen, dat is namelijk helemaal zo vanzelfsprekend niet...
Heeft niets met zaakjes op orde hebben, het is algemeen bekend dat upnp onveilig is, dan heb ik het over upnp die porten kan open zetten, niet de av-upnp.
Hoezo heeft een nasje zijn zaken niet op orde?

En een client (/nasje) moet nooit om toestemming vragen, dat moet de gatekeeper (/router/modem) doen.
Elke malware kan zich voordoen als een upnp client en met jouw manier van vragen heeft die dus automatisch toegang, alleen de nette implementaties die zouden extra klikken genereren.

Daarom dus omgedraaid, gatekeeper krijgt een verzoek tot openzetten poort en die moet dit verifieren bij de klant.
Het is natuurlijk ook de implementatie. UPNP moet gewoon niet bij poorten onder de 1024 kunnen (standaard). Bij de betere routers is dat ook zo ingesteld. In dat geval kan de NAS bij UPNP om poort 21 zeuren wat het wil, het werkt gewoon niet.

Ik krijg zelf gewoon een log-melding als een applicatie via NAT-PMP of UPNP een poort onder de 1024 probeert te openen.

Er is gewoon nog veel te winnen als de fabrikanten van thuis-routers eens serieus een goede baseline configuratie zouden meeleveren.
uPnP kan automatisch poorten open zetten en weer sluiten.
Daardoor kan het voorkomen dat via je lokale software onbewust poorten open zet.
Het aanzetten van uPnP is dan natuurlijk ook geen best practise, en apparatuur in het SMB tot hogere business segment (sonicwall, Cisco, Palo Alto en soortgelijken) heeft vaak (gelukkig) niet eens uPnP ondersteuning waardoor dit soort zaken daar dan ook eigenlijk niet voor mag komen.

Daarom ook enigzins vreemd dat redelijk wat bedrijven en instellingen getroffen lijken te zijn, zouden deze dan echt nog massaal consumenten apparatuur als primaire gateway naar internet met alle risico's van dien, terwijl security appliances van de genomeerde merken steeds betaalbaarder worden.

[Reactie gewijzigd door Dennism op 26 mei 2015 09:03]

Ik denk dat voor veel kleine en/of jonge bedrijven IT tegenwoordig vaak wordt gedaan door de eigenaar, want dat gaat tegenwoordig zo makkelijk. De noodzakelijke dingen werkend krijgen wel ja, maar security moet je de boel wel voor snappen.

Vroeger moest je voor een FTP-server 'thuis' al de expert zijn, tegenwoordig koop je een dingetje van 200 euro bij de mediamarkt en sluit je het aan, werkt vanzelf...
Hoe moet je dan met bittorrent werken? Er zijn genoeg zakelijke toepassingen voor, zoals streaming.
Iets verder lezen geeft het antwoord:
"Het probleem treedt op als gebruikers een netwerkschijf met een anonieme ftp-server hebben gekoppeld aan een router die het verkeer doorsluist, bijvoorbeeld doordat gebruikers met de upnp-instellingen hebben lopen knoeien."
In dit geval gaat het denk ik om NAS schijven die via upnp de poort openzetten in de router.
Denk dat het gaat om NAS-en, die zullen veelal standaard een FTP server hebben.
Sommige netwerk schijven zijn zo vriendelijk om de poorten zelf even voor je open te zetten op je modem/router. Makkelijk in gebruik, maar het kan wel ongewenste effecten hebben.
Het probleem is niet zo zeer dat de poort openstaat, maar dat de ftp-server "anonieme" verbindingen toelaat. Als je een ftp-server juist configureert dan weet je waar iedereen bij kan en voor welke dingen je moet inloggen. Als je dat nooit hebt ingesteld is het mogelijk dat al je gedeelde bestandjes zichtbaar zijn voor iedereen die anoniem inlogt.

Doordat modemfabrikanten/providers de verwachting hebben gehad dat een apparaat juist geconfigureerd zal zijn kan poort 21 open worden gezet als een apparaat daar om vraagt. Als je dus een apparaat hebt dat als je het aansluit gelijk poort 21 openzet en daar een anonieme ftp-server op draait kan het zijn dat je gegevens op straat liggen. In mijn ogen is het niet zozeer de fout dat poort 21 is toegewezen, maar dat het apparaat standaard poort 21 aanvraagt voordat je beveiligingsinstellingen kunt configureren.
Windows heeft geen ingebouwde ftp server. Dus je zult die altijd zelf moeten installeren. Dit 'probleem' zal maar enkele honderden mensen betreffen. Om dan voor iedereen poort 21 dicht te zetten is dan wat overdreven.

Verder is dit bericht natuurlijk dikke clickbait: "Identiteitsfraude is nog nooit zo makkelijk geweest. Een groot lek op internet!" Aldus Opgelicht

[Reactie gewijzigd door Whatson op 26 mei 2015 09:15]

Verder is dit bericht natuurlijk dikke clickbait: "Identiteitsfraude is nog nooit zo makkelijk geweest. Een groot lek op internet!" Aldus opgelicht.
De gehele aflevering is geweid aan problemen op internet, identiteitsfraude is daar zeker een van. Kan me niet voorstellen dat een openbare anonieme FTP server de gehele uitzending kan vullen, jij wel? ;)
Windows heeft geen ingebouwde ftp server. Dus je zult die altijd zelf moeten installeren. Dit 'probleem' zal maar enkele honderden mensen betreffen. Om dan voor iedereen poort 21 dicht te zetten is dan wat overdreven.

Verder is dit bericht natuurlijk dikke clickbait: "Identiteitsfraude is nog nooit zo makkelijk geweest. Een groot lek op internet!" Aldus opgelicht.
Dit is geen clickbait. Clickbait zou zijn: 'Je Zult Dit Niet Geloven, Maar Je Privégegevens Liggen Op Straat'. Niet een artikel met een genuanceerde kop als 'Providers waarschuwen klanten met openstaande ftp-servers'.

[Reactie gewijzigd door Joost op 26 mei 2015 09:15]

Ik bedoelde het orginele artikel van Opgelicht. Daar staat bovenstaande zin als onderwerp van de uitzending ;)
Dat dit nog steeds een issue is. Dacht dat het in de afgelopen 15 jaar genoeg was voorgekomen dat dit verholpen zou zijn. Het was zeer gebruikelijk om naar servers te scannen naar anonieme login mogelijkheid om er vervolgens een "Warez" distributie server van te maken.

Het niet standaard toestaan van anonieme access zou een begin zijn.

Daarnaast, welke serieuze beheerder gebruikt ftp in plaats van sftp?

Erg scary allemaal.

[Reactie gewijzigd door walterg op 26 mei 2015 08:52]

SFTP is anders ook niet heilig, dat zegt alleen wat over de verbinding (in dit geval via SSH), dan verpak je het wat verder, wat afluisteren lastiger maakt, maar dat zegt niks over het inloggen op de FTP zelf. Dito voor FTPS, overigens.
Ben ik me van bewust, maar het lijkt me als je server direct op internet moet staan in ieder geval een verbetering ten opzichte van FTP.

Daarnaast heeft sftp voor zover ik weet standaard geen anonymous access toestanden.
Klopt, omdat SFTP via ssh gaat heb je gewoon een accountje nodig. FTPS kan dan weer wel.
SFTP is niet hetzelfde als ftp-over-ssh, bij sftp is je ssh-service ook je endpoint en is er geen mogelijkheid om un-encypted bij je files te komen.
Tja het is de ftp software die het doet en anonieme toegang toestaat. Neem software die dat gewoon niet toestaat en het probleem is verholpen.

De meeste gebruikers die dit open hebben staan, hebben geen idee hoe het echt werkt, plug en pray en voor hun werkt het en voor de buitenwereld ook, alleen dat laatste hebben ze dus niet door.
Met sftp kan je anders ook een anonymous login maken (toegeven, het is niet erg eenvoudig). Het protocol doet er weinig toe, mensen moeten gewoon een wachtwoord leren te gebruiken (en liever hun router niet zo instellen dat alles openstaat naar het web).
Anoniem: 463321
@walterg26 mei 2015 12:11
Genoeg beheerders in de wereld die niet serieus zijn. Of de kennis niet hebben.
Daarnaast, welke serieuze beheerder gebruikt ftp in plaats van sftp?
Serieuze beheerders zijn het probleem niet. Dit gaat vooral over thuisgebruikers die geen seconde nadenken over veiligheid en al lang blij zijn als het werkt. Die kopen een goedkope NAS en willen daar niks aan instellen maar het moet wel altijd en met alle software werken. De fabrikanten die doen wat de klanten willen en zetten overal clear-text FTP op.
Terug naar de FXP scene toestanden. Of misschien bestaat het nog?
FXP heeft vooral zin wanneer het om servers gaat met een snelle verbinding naar het internet, zoals in datacenters. Dan heb je in notime een bestand van de ene naar de andere server gekopieerd, omdat je eigen (trage) upload niet de limiterende factor is.

Waar het nu echter om gaat zijn mensen met gewone huis-, tuin- en keukenverbindingen die met een NAS per ongeluk een publieke FTP-site hebben opgezet. Het is vervelend voor die mensen dat ze ongemerkt hun bestanden met het internet delen, maar vanwege de beperkte bandbreedte is het niet aantrekkelijk voor warez.
Door glasvezel is dat ook weer aan het veranderen. Mensen met 100-500mbit uplinks zijn heel gewoon aan het worden in Nederland. Voor een grote warez-hub is dat niet interessant maar voor een kleine dump is het voldoende.
Ik kan me de tijd nog herinneren waar ik in Limewire "wachtwoord" intypte als zoekopdracht en een mooi aantal .doc-bestanden voorgeschoteld kreeg.

De reden was dat veel mensen tijdens het installatieproces gewoon klikten op "Scan mijn computer voor deelbare bestanden". Ik heb er verder nooit iets mee gedaan, maar ik had dit wel kunnen doen.

Dat dit nu nog steeds voorkomt, maar nu met (per ongeluk) opgezette FTP-servers is wel heel erg typisch!
En door dit soort ongein ben je dus verplicht een zakelijke lijn te nemen. Poort 25 lijkt bij de meeste providers ook al te zijn geblokkeerd doordat consumenten open relays installeerden. Gelukkig gaat men nu niet poort 21 dichtgooien, maar toch...

[Reactie gewijzigd door Trommelrem op 26 mei 2015 08:51]

En door dit soort ongein ben je dus verplicht een zakelijke lijn te nemen. Poort 25 lijkt bij de meeste providers ook al te zijn geblokkeerd doordat consumenten open relays installeerden. Gelukkig gaat men nu niet poort 21 dichtgooien, maar toch...
Poort 25 is semi blocked op particuliere lijnen. Particuliere lijnen kunnen via poort 25 wel degelijk communiceren, echter enkel naar de SMTP-server van de provider zelf, om op die manier te voorkomen dat de particulier spam verzend en er hele IP-reeksen geblokkeerd worden. Als je dus een smarthost instelt, is er niets aan de hand.
[...]
Poort 25 is semi blocked op particuliere lijnen. Particuliere lijnen kunnen via poort 25 wel degelijk communiceren, echter enkel naar de SMTP-server van de provider zelf, om op die manier te voorkomen dat de particulier spam verzend en er hele IP-reeksen geblokkeerd worden. Als je dus een smarthost instelt, is er niets aan de hand.
Bij XS4ALL is geen smart host (ook wel 'SMTP relayer' genoemd) nodig op de particuliere lijnen. Waarschijnlijk moet je dit per ISP bekijken.

[Reactie gewijzigd door The Zep Man op 26 mei 2015 13:07]

Bij XS4ALL is geen smart host (ook wel 'SMTP relayer' genoemd) nodig op de particuliere lijnen. Waarschijnlijk moet je dit per ISP bekijken.
Klopt, maar ben je zelf weer verantwoordelijk voor de beveiliging van de verbinding. En als het echt fout gaat, gooien ze je in een DMZ, waarbij ze je er pas uit halen als je echt kan bewijzen de problemen te hebben aangepakt.

[Reactie gewijzigd door CH4OS op 26 mei 2015 15:03]

Niet nodig, maar wel handig. Mail verzonden via een mailserver op een "dynamisch" IP-adres wordt vaak geblokkeerd ben ik achter gekomen.
Wat dus een veiligheidsrisico is, omdat je daarmee de smarthost op de SPF moet zetten, waardoor ineens heel veel mensen kunnen spammen met jouw domeinnaam.
Dat spammen kan sowieso, SPF is leuk, maar niet alle mailservers ondersteunen / gebruiken dat.
Ik ben ze nog niet tegen gekomen. Oke, soms kom je nog weleens een SBS servertje tegen waarop het niet is geconfigureerd, maar het wordt wel ondersteund. SBS is sowieso eol en gelukkig is het voor gebruikers steeds ongebruikelijker om een eigen mailserver te draaien. Hosted oplossingen ondersteunen vrijwel altijd SPF. Eigenlijk kunnen ze alle poorten wel dichtgooien, want 443 is de enige poort die je feitelijk nodig hebt. Soms is poort 80 nog nodig, maar ook dat begint eol te worden.
Dan nog is het gebruik van SPF laag: http://trends.builtwith.com/mx/SPF, wel met een stijgende lijn gelukkig, maar nog altijd niet het meerendeel. ;)
Zolang dat er niet is, is het gebruik van SPF ook nog niet echt "nodig".

[Reactie gewijzigd door CH4OS op 26 mei 2015 09:49]

SPF is broken by design. Dat was 10 jaar geleden al, en dat is nog altijd zo. ISPs die SPF gebruiken om mail te droppen (Tele2 bv) zorgen voor meer problemen dat oplossingen (geforwarde mail van bv mailinglists/aliases wordt stilletjes gedropped).

Maar je hebt wel gelijk dat het steeds vaker gebruikt wordt, de hoeveelheid ham die een valide SPF records heeft is vrijwel gelijk aan de hoeveelheid spam met SPF (+/- 30%). Spam met invalid SPF komt niet voor in de top 20 redenen hier. SPF zegt dan ook helemaal niets over de inhoud.
Ik heb niet echt last van die blokkade.
Mijn mail-server staat netjes in een DC en de submission-port is niet geblokkeerd.
Voor submission is uiteraard login vereist.
Poort 25 is semi blocked op particuliere lijnen. Particuliere lijnen kunnen via poort 25 wel degelijk communiceren, echter enkel naar de SMTP-server van de provider zelf, om op die manier te voorkomen dat de particulier spam verzend en er hele IP-reeksen geblokkeerd worden. Als je dus een smarthost instelt, is er niets aan de hand.
Je kan met SSL (TLS) ook via andere SMTP servers werken, dat is niet geblokkeerd bij ISP's.
Ik zit achter een Ziggo lijn, maar mijn mailserver maakt een SSL verbinding met de SMTP server van Antagonist, waar ik mijn domeinen heb geclaimd, mijn verstuurde mail gaat dus niet via de SMTP server van Ziggo.
Tja, je kan klagen over XS4All wat je wilt, maar bij hen kan je al jaren ervoor kiezen om geen enkele poort geblokkeerd te hebben. (en diverse andere opties met meer dichtgetimmerde poorten zijn ook beschikbaar)

Je bent wel op jezelf aangewezen om je beveiliging op orde te hebben. Als ze erachter komen dat er misbruik van je systeem wordt gemaakt, dan ga je op een DMZ totdat je het aantoonbaar opgelost hebt.
XS4ALL is dan ook de beste provider voor consumenten die er is, vind ik persoonlijk. Bij hun krijg je echt internet in plaats van beperkt internet.
"Het programma wilde internetproviders aanvankelijk vragen om poort 21 standaard te blokkeren voor gebruikers met anonieme ftp-servers, maar dat bleek een te omvangrijke operatie."

Ja... In plaats van mensen opvoeden, maar gelijk de ISP alles laten blokkeren...
En op zich is het blokkeren van poort 21 niet zo'n probleem, maar het was blijkbaar teveel werk voor Opgelicht om alle ISP's aan te schrijven. (en ze hadden zelf ook vast al bedacht dat ze uitegelachen zouden worden door die ISP's)

Het probleem zit hem inderdaad in al die makkelijke plug & play NAS systemen, gecombineerd met mensen die ook niet meer sjoege van netwerken & protocollen hebben dan een dropveter.

Misschien toch maar een proeve van bekwaamheid voordat je een internetaansluiting mag beheren?
Dat doen providers wel vaak voor poort 25; mailservers. Dat om spam (is nadelig voor de provider en de klanten) te verminderen. Maar poort 21, nadelig voor de klanten, is niet de moeite waard?
Voor poort 25 uitgaand biedt de provider een SMTP server aan, zodat consumenten alsnog een eigen mailserver kunnen draaien en mail naar buiten kunnen sturen door deze als smarthost in te stellen, voor FTP is dit niet direct mogelijk. Waardoor hier een blokkade gelijk alle mogelijkheden voor de klant wegneemt, in plaats van enkel een designwijziging in de opzet van zijn mailserver structuur.

Hierdoor zouden een blokkade klanten die de boel wel goed opgezet hebben ook niet zomaar een FTP server meer kunnen draaien.

[Reactie gewijzigd door Dennism op 26 mei 2015 09:13]

Natuurlijk kunnen ze wel een FTP-server draaien; simpelweg op een andere poort.
En dat oom Jan dat niet snapt, is alleen maar mooi meegenomen.
Dat is geen oplossing.
Je kan elk protocol wel op een andere poort laten draaien dan de standaard poort, en dat is leuk als je voor jou en je buurjongen een FTP server wilt draaien, maar als je een normale FTP server wil draaien, dan wil je ook op de standaard poort te vinden zijn.
FTP kan prima op een niet standaard poort draaien. Je kunt de poort opnemen in de URL. Alleen een firewall (aan de client kant) kan roet in het eten gooien.

Maar een mailserver *moet* op poort 25, omdat je in de MX record geen poort kunt specificeren. Dus als je niet op poort 25 luistert, krijg je geen mail.
Maar een mailserver *moet* op poort 25, omdat je in de MX record geen poort kunt specificeren. Dus als je niet op poort 25 luistert, krijg je geen mail.
Of je maakt gebruik van een forwarding service (kost een paar tientjes per jaar), die alle mail doorstuurt naar jouw server met een andere SMTP poort dan 25. Dat is echter een workaround en geen oplossing. ;)

[Reactie gewijzigd door The Zep Man op 26 mei 2015 13:11]

Ik snap dat er mensen zijn die geen verstand hebben van poorten en protocollen en dan maar wat gaan uitproberen op de router, NAS of Decoder/HDrecoder (op o.a. de Humax van Ziggo kan je ook FTP aanzetten). Ben dan zo verstandig om een ICT-mannetje of -bedrijfje in te schakelen, maar ja dat kost geld denken de meesten zonder er bij na te denken dat het toch verstandig is. Ze laten wel een fatsoenlijk slot in hun deuren zetten, dat mag geld kosten, maar de ICT thuis op orde.. ach ja ieder zijn keuze.

Wat wel handig zou zijn dat ze in het (bron)artikel in ieder geval een paar links zetten om b.v. je ip-nummer te achterhalen (weet 99% van de mensen niet) en de openstaande poorten te checken.

Wat is mijn IP-nummer: http://whatismyipaddress.com
Welke poorten staan open: http://www.yougetsignal.com/tools/open-ports/

Dan kan de niet-tweakers e.e.a. controleren en als ze dan het vermogen hebben om te zien dat er iets niet klopt ;) dat ze dan een tweaker in huis halen om de boel even netjes op orde te brengen.
Dit doe ik zelf ook af en toe. Zo kwam ik er een tijdje geleden achter dat poort 22 (SSH) openstond naar het gehele internet nadat ik mijn NAS (Synology) had bijgewerkt naar nieuwste software. Voorheen had ik op de firewall van het apparaat ingesteld dat alleen de Synology bij m'n ouders verbinding mocht maken met SSH (nodig i.v.m. NetBackup). Blijkbaar is die regel verwijderd tijdens de update. Gelukkig stuurde de Synology mij allemaal mailtjes vanwege mislukte inlogpogingen.

Maar zeker niet verkeerd om af en toe te doen, net als je eigen naam af en toe door Google te gooien om te kijken of je het eens bent met die zoekresultaten :D

En poorten openzetten doe ik liever niet, eigenlijk staat er alleen een poort voor VPN open en stuur ik daar alles overheen.

[Reactie gewijzigd door ThinkPad op 26 mei 2015 10:10]

Dit doe ik zelf ook af en toe. Zo kwam ik er een tijdje geleden achter dat poort 22 (SSH) openstond naar het gehele internet nadat ik mijn NAS (Synology) had bijgewerkt naar nieuwste software.
ssh open geeft niet zo veel problemen en is qua beveiliging vergelijkbaar vpn dan wel niet beter dan vpn omdat vpn een ruim begrip is en voor beveiliging erg configuratie afhankelijk is ssh is dat niet.

Alleen zorgen dat de root gebruiker geen toegang heeft.
ssh open geeft niet zo veel problemen en is qua beveiliging vergelijkbaar vpn dan wel niet beter dan vpn omdat vpn een ruim begrip is en voor beveiliging erg configuratie afhankelijk is ssh is dat niet.
ssh open voor de wereld met password authenticatie (de default) is vragen om problemen. Wellicht tijd om eens in de logs te kijken wat er op 22 gebeurd zou ik zeggen en de nodige maatregelen nemen (denyhosts/fail2ban, geen password en challenge response authenticatie, zinnige wachtwoorden afdwingen bij gebruikers).
ssh open voor de wereld met password authenticatie (de default) is vragen om problemen. Wellicht tijd om eens in de logs te kijken wat er op 22 gebeurd
Ow daar komt vast wel om de zoveel tijd een falende worm langs die mijn username niet weet. ditto voor apache, worms komen altijd op een blanco httpd omdat die mijn hostname niet weet.
Anoniem: 55563
26 mei 2015 10:09
Bizar! Zojuist heb ik eens de proef op de som genomen en ik kom inderdaad veel open ftp servers tegen waarop ook nog eens volledige rechten openstaan. Zojuist heb ik een txt-bestand aangemaakt op iemands desktop met de boodschap dat alle data toegankelijk zijn inclusief salarisstrookjes, paspoorten etc. Het zal even schrikken zijn voor deze persoon maar het is zo makkelijk te vinden dat het mij gepast leek om dit te doen. De volgende die inlogt, heeft mogelijk minder goede bedoelingen.
Ben je dan niet strafbaar bezig?
Zie Artikel 138ab
Anoniem: 55563
@0xygen26 mei 2015 13:30
Geen idee. Ik ben in Azië dus de Nederlandse wetgeving is op mij niet van toepassing. De wetten hier heb ik geen idee van. Als de persoon in kwestie zijn bestanden offline haalt voor het te laat is dan interesseert het mij ook vrij weinig.
In Nederland valt dit onder computervredebreuk. Dus voor mensen die zich in Nederland bevinden, zou ik aanraden niet zelf zoiets te gaan proberen.

Computervredebreuk is in Nederland strafbaar gesteld in artikel 138ab van het Wetboek van Strafrecht en artikel 144a van het Wetboek van Strafrecht BES. Het wetboek omschrijft computervredebreuk als "opzettelijk en wederrechtelijk binnendringen in een geautomatiseerd werk of in een deel daarvan". Van binnendringen is in ieder geval sprake indien de toegang tot het werk wordt verworven:

a. door het doorbreken van een beveiliging,
b. door een technische ingreep,
c. met behulp van valse signalen of een valse sleutel, of
d. door het aannemen van een valse hoedanigheid.
De maximale straf voor computervredebreuk is 1 jaar gevangenisstraf of een geldboete van de vierde categorie (in 2012: 19.500 euro of 14.000 dollar). Echter indien de inbreker:

gegevens uit de computer vastlegt (voor zichzelf of anderen), of
de verwerkingscapaciteit van de computer aanwendt voor zichzelf, of
de ingebroken computer gebruikt als startpunt voor een verdere inbraakpoging in een andere computer
dan neemt de maximumstraf toe tot vier jaren of een geldboete van de vierde categorie (zie Boete).

Door de wettelijke omschrijving van computervredebreuk zijn activiteiten als "cracking", het overnemen van andermans computers (zombies) en het installeren van spyware (zie Spyware) in Nederland verboden en strafbaar.

Bron wikipedia
Vroegah, jaren 90, was dit ook een sport, tooltjes om open FTP's te zoeken om je warez rond te brengen, wat was FXP later een geweldige ontwikkeling. Maar het ging niemand om wat erop stond, maar wat je er op kwijt kon en hoe snel dat ging.

Tijden veranderen en zo ook de doelen.
Vroeger kon ik na het inbellen naar de provider en het starten van de pc anywhere console de wereld aan pc's en servers overnemen.
Nu is dat met teamviewer iets beter afgesteld en providers hebben meestal ook een iets betere portscan-Block aktief... Maar toch :)
Je kan ook met een simpele Google query openstaande ftp's vinden...
Zo makkelijk ging dat niet allemaal :')
Het is echt verbazingwekkend om te zien hoeveel mensen hun NAS/IP-camera/Set-topbox zomaar open (of admin/admin) hebben staan en aan het hele internet laten hangen. Een paar maanden terug ben ik eens gaan rondkijken met shodan.io, en je kan echt alles van sommige mensen terugvinden. Hele sets trouwfoto's, scans van identiteitskaarten, belastingsaangiften, in huis binnenkijken, volgen naar wat ze kijken op TV (of de zender wisselen), ...
Het viel mij op dat Solcon mijn Thompson modem van nieuwe firmware had voorzien en daar zat op eens ook en ftp server in die openstond.

Gelijk maar dicht gezet
Je zult je verbazen hoeveel mensen hun NAS of Top set-box open hebben staan naar de vrije wereld. Complete identiteitspapieren, bankafschriften, wachtwoorden. Bij sommige zelfs een app om mee te kunnen kijken in het hele huis.

Op dit item kan niet meer gereageerd worden.

Tweakers maakt gebruik van cookies

Tweakers plaatst functionele en analytische cookies voor het functioneren van de website en het verbeteren van de website-ervaring. Deze cookies zijn noodzakelijk. Om op Tweakers relevantere advertenties te tonen en om ingesloten content van derden te tonen (bijvoorbeeld video's), vragen we je toestemming. Via ingesloten content kunnen derde partijen diensten leveren en verbeteren, bezoekersstatistieken bijhouden, gepersonaliseerde content tonen, gerichte advertenties tonen en gebruikersprofielen opbouwen. Hiervoor worden apparaatgegevens, IP-adres, geolocatie en surfgedrag vastgelegd.

Meer informatie vind je in ons cookiebeleid.

Sluiten

Toestemming beheren

Hieronder kun je per doeleinde of partij toestemming geven of intrekken. Meer informatie vind je in ons cookiebeleid.

Functioneel en analytisch

Deze cookies zijn noodzakelijk voor het functioneren van de website en het verbeteren van de website-ervaring. Klik op het informatie-icoon voor meer informatie. Meer details

janee

    Relevantere advertenties

    Dit beperkt het aantal keer dat dezelfde advertentie getoond wordt (frequency capping) en maakt het mogelijk om binnen Tweakers contextuele advertenties te tonen op basis van pagina's die je hebt bezocht. Meer details

    Tweakers genereert een willekeurige unieke code als identifier. Deze data wordt niet gedeeld met adverteerders of andere derde partijen en je kunt niet buiten Tweakers gevolgd worden. Indien je bent ingelogd, wordt deze identifier gekoppeld aan je account. Indien je niet bent ingelogd, wordt deze identifier gekoppeld aan je sessie die maximaal 4 maanden actief blijft. Je kunt deze toestemming te allen tijde intrekken.

    Ingesloten content van derden

    Deze cookies kunnen door derde partijen geplaatst worden via ingesloten content. Klik op het informatie-icoon voor meer informatie over de verwerkingsdoeleinden. Meer details

    janee