Vaši podatki so lahko ogroženi zgolj zaradi prenosa datotek med vašo napravo in spletnim mestom. Za zaščito vaših osebnih podatkov morajo biti nastavitve požarnega zidu za zunanje in notranje strežnike pravilno nastavljene. Zato je ključnega pomena, da poznate strežnik FTP in da razumete različne strategije napada z vidika napadalca.
Kaj so torej FTP strežniki? Kako lahko kibernetski kriminalci prestrežejo vaše podatke, če niso pravilno konfigurirani?
Kaj so strežniki FTP?
FTP pomeni protokol za prenos datotek. Omogoča prenos datotek med dvema računalnikoma, povezanima v internet. Z drugimi besedami, želene datoteke lahko prenesete na strežnike svojega spletnega mesta prek FTP. Do FTP lahko dostopate iz ukazne vrstice ali odjemalca grafičnega uporabniškega vmesnika (GUI).
Večina razvijalcev, ki uporabljajo FTP, so ljudje, ki redno vzdržujejo spletna mesta in prenašajo datoteke. Ta protokol pomaga narediti vzdrževanje spletne aplikacije enostavno in brez težav. Čeprav je precej star protokol, se še vedno aktivno uporablja. FTP lahko uporabljate ne samo za nalaganje podatkov, ampak tudi za nalaganje datotek. Strežnik FTP pa deluje kot aplikacija, ki uporablja protokol FTP.
Da lahko napadalec učinkovito napade strežnik FTP, morajo biti pravice uporabnika ali splošne varnostne nastavitve napačno nastavljene.
Kako hekerji ogrozijo komunikacijo RCP?
RCP je kratica za Remote Procedure Call. To pomaga računalnikom v omrežju med seboj narediti nekaj zahtev, ne da bi poznali podrobnosti omrežja. Komunikacija z RCP ne vsebuje nobenega šifriranja; informacije, ki jih pošiljate in prejemate, so v navadnem besedilu.
Če uporabljate RCP med fazo preverjanja pristnosti strežnika FTP, bosta uporabniško ime in geslo poslana strežniku v navadnem besedilu. Na tej stopnji napadalec, ki posluša komunikacijo, vstopi v promet in pride do vaših podatkov tako, da zajame ta besedilni paket.
Podobno, ker je prenos informacij med odjemalcem in strežnikom nešifriran, lahko napadalec ukrasti paket, ki ga odjemalec prejema in dostopati do informacij brez potrebe po geslu oz uporabniško ime. Z uporabo SSL (Secure Socket Layer), se lahko izognete tej nevarnosti, saj bo ta varnostni sloj šifriral geslo, uporabniško ime in vso podatkovno komunikacijo.
Za uporabo te strukture morate imeti na strani odjemalca programsko opremo, ki podpira SSL. Poleg tega, če želite uporabljati SSL, boste potrebovali neodvisnega ponudnika potrdil tretje osebe, tj. Certification Authority (CA). Ker CA izvaja postopek preverjanja pristnosti med strežnikom in odjemalcem, morata obe strani zaupati tej ustanovi.
Kaj so aktivne in pasivne konfiguracije povezave?
Sistem FTP deluje preko dveh vrat. To sta krmilni in podatkovni kanal.
Nadzorni kanal deluje na vratih 21. Če ste naredili rešitve CTF z uporabo programske opreme, kot je nmap prej ste verjetno že videli vrata 21. Odjemalci se povežejo s temi vrati strežnika in sprožijo podatkovno komunikacijo.
V podatkovnem kanalu poteka proces prenosa datotek. To je torej glavni namen obstoja FTP. Obstajata tudi dve različni vrsti povezave pri prenosu datotek: aktivna in pasivna.
Aktivna povezava
Odjemalec izbere način pošiljanja podatkov med aktivno povezavo. Nato zahtevajo, da strežnik začne prenos podatkov z določenega pristanišča, in strežnik to stori.
Ena najpomembnejših napak v tem sistemu se začne s strežnikom, ki začne prenos in odjemalčev požarni zid odobri to povezavo. Če požarni zid odpre vrata, da to omogoči, in sprejme povezave s teh vrat, je izjemno tvegano. Posledično lahko napadalec skenira odjemalca za odprta vrata in vdre v stroj z uporabo enega od vrat FTP, za katere odkrije, da so odprta.
Pasivna povezava
Pri pasivni povezavi se strežnik odloči, na kakšen način bo prenašal podatke. Odjemalec zahteva datoteko od strežnika. Strežnik pošlje podatke o odjemalcu iz vrat, ki jih strežnik lahko prejme. Ta sistem je bolj varen kot aktivna povezava, ker je pobudnik odjemalec, strežnik pa se poveže z ustreznimi vrati. Na ta način odjemalcu ni treba odpreti vrat in omogočiti dohodnih povezav.
Toda pasivna povezava je lahko še vedno ranljiva, saj strežnik sam odpre vrata in čaka. Napadalec pregleda vrata na strežniku, se poveže z odprtimi vrati, preden odjemalec zahteva datoteko, in pridobi ustrezno datoteko, ne da bi potreboval podrobnosti, kot so poverilnice za prijavo.
V tem primeru odjemalec ne more ukrepati za zaščito datoteke. Zagotavljanje varnosti prenesene datoteke je v celoti proces na strani strežnika. Torej, kako lahko preprečite, da bi se to zgodilo? Za zaščito pred tovrstnim napadom mora strežnik FTP dovoliti le naslov IP ali MAC ki je zahteval, da se datoteka poveže z vrati, ki jih odpre.
IP/MAC maskiranje
Če ima strežnik nadzor IP/MAC, mora napadalec zaznati naslova IP in MAC dejanskega odjemalca in se ustrezno maskirati, da ukrade datoteko. Seveda se v tem primeru zmanjša možnost uspeha napada, saj se je treba povezati s strežnikom, preden računalnik zahteva datoteko. Dokler napadalec ne izvede maskiranja IP in MAC, bo računalnik, ki zahteva datoteko, povezan s strežnikom.
Časovna omejitev
Uspešen napad na strežnik s filtriranjem IP/MAC je možen, če odjemalec med prenosom datotek doživi kratka obdobja prekinitve povezave. Strežniki FTP praviloma določajo določeno časovno omejitev, tako da se prenos datoteke ne konča v primeru kratkotrajnih prekinitev povezave. Ko odjemalec naleti na takšno težavo, se strežnik ne odjavi z naslovom IP in MAC odjemalca in počaka, da se povezava ponovno vzpostavi, dokler ne poteče časovna omejitev.
Z izvajanjem maskiranja IP in MAC se napadalec v tem časovnem intervalu poveže z odprto sejo na strežniku in nadaljuje s prenosom datotek od tam, kjer je prvotni odjemalec končal.
Kako deluje Bounce Attack?
Najpomembnejša značilnost odbojnega napada je, da je napadalca težko najti. Če se uporablja v povezavi z drugimi napadi, lahko kibernetski kriminalec napade, ne da bi pustil sledi. Logika te vrste napada je uporaba strežnika FTP kot proxyja. Glavne vrste napadov, za katere obstaja metoda odboja, so skeniranje vrat in posredovanje osnovnih filtrov paketov.
Skeniranje vrat
Če napadalec uporabi to metodo za skeniranje vrat, ko pogledate podrobnosti dnevnikov strežnika, boste kot računalnik za skeniranje videli strežnik FTP. Če sta ciljni strežnik, ki bo napaden, in strežnik FTP, ki deluje kot proxy, v istem podomrežju, ciljni strežnik ne izvede nobenega filtriranja paketov za podatke, ki prihajajo iz strežnika FTP. Poslani paketi niso priključeni na požarni zid. Ker za te pakete ne bodo uporabljena pravila dostopa, se napadalčeva možnost za uspeh poveča.
Prehajanje osnovnih paketnih filtrov
S to metodo lahko napadalec dostopa do notranjega strežnika za anonimnim strežnikom FTP, zaščitenim s požarnim zidom. Napadalec, ki se povezuje z anonimnim strežnikom FTP, zazna povezani notranji strežnik z metodo skeniranja vrat in ga lahko doseže. In tako lahko heker napade strežnik, ki ga požarni zid varuje pred zunanjimi povezavami, s posebej določene točke za komunikacijo s strežnikom FTP.
Kaj je napad z zavrnitvijo storitve?
DoS (Denial of Service) napadi niso nova vrsta ranljivosti. Napadi DoS se izvajajo, da preprečijo strežniku dostavo datotek z zapravljanjem virov ciljnega strežnika. To pomeni, da se obiskovalci vdrtega FTP strežnika ne morejo povezati s strežnikom ali prejeti datotek, ki jih zahtevajo med tem napadom. V tem primeru je mogoče utrpeti velike finančne izgube zaradi spletne aplikacije z veliko prometa – in s tem zelo razočarati obiskovalce!
Razumeti, kako delujejo protokoli za skupno rabo datotek
Napadalci lahko zlahka odkrijejo protokole, ki jih uporabljate za nalaganje datotek. Vsak protokol ima svoje prednosti in slabosti, zato morate obvladati različne načine šifriranja in skriti ta vrata. Seveda je veliko bolje videti stvari skozi oči napadalca, da bi lažje ugotovili, katere ukrepe morate sprejeti za zaščito sebe in obiskovalcev.
Ne pozabite: napadalci bodo v mnogih pogledih korak pred vami. Če najdete svoje ranljivosti, lahko pridobite veliko prednost pred njimi.