Wenn die privaten Dateien der eigenen Cloud von Suchmaschinen gefunden werden können, lief sicher etwas falsch. Wenn diese dann auch noch auf einem offenen FTP Server liegen, ist es ein Sicherheitsdesaster.
So geschehen bei Kunden von Swisscom und Cablecom. Insgesamt sind von den Suchmaschinen 18 offene FTP Server indexiert. 11 davon sind von jedem ohne jegliche Authentifizierung beschreibbar.
| Offene FTP Server | Davon beschreibbar | |
|---|---|---|
| Swisscom | 6 | 2 |
| Cablecom | 12 | 9 |
| Total | 18 | 11 |
Tausende private Daten geleakt
Auf den Servern befinden sich über 80'000 Dateien. Darunter die eigene Mediathek, Fotoalben oder Dokumente. Solche Dateien beinhalten nicht nur sensible Informationen, sondern verstossen streng genommen auch gegen das nicht unumstrittene Urheberrecht. Auf den Servern finden sich mehrere Gigabytes an Serien und Kinofilmen in hoher Qualität.
Dazu ein paar Statistiken:
Dateityp
Anzahl
PRN
29'282
PDF
18'864
HTML
13'101
GZ
3'239
JPG
2'462
MP3
2'084
ZIP
1'952
SCR
421
PNG
388
MP4
381
M4A
341
EXE
313
MKV
286
TIF
269
PO
232
NFO
195
M3U
195
SFV
183
MO
88
XML
86
AVI
79
SO
64
XFR
60
3DS
60
PY
54
SYNTAX
49
TMAC
48
PHP
41
PARENT
40
MAP
39
HTM
39
ASP
39
DB
36
STRINGS
35
M4V
35
0
34
SL
31
MOV
31
NANORC
25
JS
25
CONTROL
25
7
24
DOCX
23
CSS
23
EPS
21
Virenschleuder
Die offenen FTP Servern werden erwartungsgemäss für das verbreiten von SPAM und Malware misbraucht. Die meisten PDF und HTML Dokumente enthalten SPAM und verlinken wiederum auf die EXE, SCR und ZIP Dateien, wo die eigentliche Shadware enthalten ist. Einige prominente Vertreter habe ich ausgewertet:
IMG001.exe
1 016cbeaa5da77e43f5f5462e8f9fbd3de455dfedc1905b832c484997f4042a17
1 1fe36eb23ada625fddac43704dd714cdb9cd8af511a70e9db63d5c59834ea3d9
137 2ee0219c66ca40dc6d8b3395e95fa433a1b7b5bc2afe4e629c048c1518f3a1e5
1 84befc85a2fd024cd54a4b8fa1ea82952c91d81e0cf47a8c92ca95c59a9cb822
1 85ad8c4af6d471db22bc1523d4d64c75b4d5210675c11ff5e2e6df2ee42a73ed
1 8e9b2ada5f9c40821164715ce5c638d15dfbc59145f4aac2403afc4a3806ae37
1 ae58455ee6213dda6a2db61c1e53643321a7578d8f3b4fda46f45fec2ab462bc
1 d1f65a289d1a1de42fbb290040a042af4ab06f9442c30f501fd53a0c5791e660
49 e06aa8ce984b22dd80a60c1f818b781b05d1c07facc91fec8637b312a728c145
2 e3b0c44298fc1c149afbf4c8996fb92427ae41e4649b934ca495991b7852b855
1 edc049f43e49ebc789a64818b7a1c52e37dd248e735d86606d92162dce599130
info.zip
1 44b8574c05c2042cc0a01df4e29b7c07506c69c6d8bf82c1ca5141e21a0250c8
1 47eaabdbc8d6a3dcd033458e0ccf5db73ec10592db680b479888f823d89d3d22
1 50e31ba60640b0a99b743de819bc57c16a2c84b2b72f34d7fa0a92ea6093d92d
1 53f6688f53d0ee515011efa0221f167838de2a1e81951ab6e6b97b158ae1deda
1 6d50243839f99309dbb55838ad783c3f5c6b503526938ac426676a73707a2f9f
1420 7126b9932dc0cdfe751340edfa7c4a14b69262eb1afd0530e6d1fdb2e25986dd
1 7de94640c4e66d2516df41b914fb07ac74c15b377cb2c5527919c0ac3603c5fa
1 8712d3c8a85a0b452c7b7cc8b7e8987b3ce5f1f2fc403306fdd3dac5e78a3367
1 88a43593f6bde684cf6b75a9e845dbff86f7868b0f530a9d4a55eb93c0b1a58e
1 8aa9eb106f172b2d7edd386e234849ff57ac6694f9189935730476dbfe84b4bf
1 8dff510fcab93a35542ddf22f33c027e0d86194ccad2e3e23b5dee52a3c484fe
1 99d891b62bffade9ba4bf719a03ad31cae2646e4bf2edf1ce77bfea4f781fb4a
399 b914abc696286a639a847d2e3a4a36ff682f30a87b08c4ffc61f2e0cf5e7ec5f
1 d810d5c1960d512c577163d2185e5992d5713dc3db44840cddb485e1ae23136a
5 e3b0c44298fc1c149afbf4c8996fb92427ae41e4649b934ca495991b7852b855
Photo.scr
1 07da2177598b47c16e001f21ca2b227e55de5b0846450c572d968932333ce7d4
2 1d4628e383d9df45e81e0e31f3794b839a79a949da6ff69f7dc55b9a9c65f4a6
1 22e19fb83a3e6e04f3e171d02746846e06b1cd9d24b0f0b4d8fac8fdc95fced6
1 29e276dfb543af5489f6bc9bc26377275571bd953d881842a98ec73d8be4fd7b
1 51ca332575f7cf56011c739bbbb503764cf2f152d2dea1b072f09f6e95f48759
3 5fee7644c13f18f2077359260cc73ce20ca36779ee70a8f7e95915b265007408
2 6d62afff573d7035e20a67b6a02180af50a98b3c9e1d3ce2c77cb8d56639bd4a
257 807126cbae47c03c99590d081b82d5761e0b9c57a92736fc8516cf41bc564a7d
1 8810e80b6a056c47a72619e041ac20664e328caee1d5a51f72effa92c7c9fe8e
1 8b14f93380faf9ada4132c0a3f261221c4eeb2b2895310a8d43ad0829fcba752
1 90a803eedfce057ca46bde21b8e8c32804c890e5dbcfc5e3757c5f2c891804c3
1 99d2bcd8150f9512908756f01c4cb5e8469128ddb5a6b0024312b8aa7f4193c5
1 9dec5eb30814a7659b5be7cec4388dc0bd4fd45baaa18662ba7b20f8a7ab2be6
3 a2291b92a635503e225de9d96d0f42ff0447b7ed5a99eeb8560c8921a6cf0db5
3 bbaac2c541191a360e536a6d5ced3126fb8ba7335fc925929ee42233a9c6ee05
5 cdf743f542226971129e8c037fa2ea29ee488566848887ff8de3dd166b0636b8
136 e3b0c44298fc1c149afbf4c8996fb92427ae41e4649b934ca495991b7852b855
1 f24eb5a54b96e38e41960073de2ba8f1aa95729cedcd881e4bb3a21577f6e0a0
Die Hashwerte finden sich auch in der Datenbank von VirusTotal wieder. Im Bezug auf die dortigen Resultate scheinen es die Angreifer vor allem auf Bitcoins abgesehen zu haben.
Dokumente des ENSI geleakt
Unter den ganzen Dateien finden sich auch einige Dokumente des ENSI welche ich in einem separaten Artikel behandle.
Cablecom sind die Hände gebunden, Swisscom schweigt
Ich habe Cablecom und Swisscom Anfang Jahr über die verseuchten Servern unterrichtet. Beide versprachen die Information weiterzuleiten. Von Swisscom habe ich seither nichts mehr gehört. Cablecom schreibt auf Nachfrage, dass ihnen in diesem Fall die Hände gebunden sind:
Das betreiben eines FTP Servers verstösst nicht gegen unsere AGB's. Deshalb können wir die Kunden nur informieren.
Um die Server zu sperren, müssten die Kunden abgemahnt werden und das hätte auch den Verlust des Internetanschlusses zur Folge.
Da jeder Schreibrecht auf den Servern hat, könnte man die Shadware auch einfach löschen. Das würde aber kaum etwas bringen, da ein Bot später wieder neue Shadware platzieren würde.
Update: Inzwischen hat auch die Swisscom reagiert. Meine Meldung wurde intern leider nicht bis zur zuständigen Stelle durchgereicht. Nun schreibt die Swisscom folgendes zu dem Thema:
[...] grundsätzlich können v.a. Geschäftskunden an ihren Internetanschlüssen beliebige legitime Internet-Services selber betreiben und sind daher auch selber für die Sicherheit und die Konsequenzen von kompromittierten oder missbrauchten Systemen, durch fehlerhafte Konfiguration oder Sicherheitslücken auf Grund veralteter Patchstände verantwortlich.
Wir bitten Sie, in Ihrem Blog-Post unmissverständlich darauf hinzuweisen, dass es sich bei den betroffenen Systemen um Kundensysteme handelt, für die Swisscom keinerlei Verantwortung trägt.
Die Kunden sollen nun ebenfalls benachrichtigt und aufgefordert werden die Lücken zu schliessen.
Grosse Dunkelziffer
Dabei handelt es sich hier lediglich um die FTP-Server, welche bei Suchmaschinen indexiert sind. Dienste, welche auf irgendwelchen Geräten laufen und nicht regelmässig gewartet werden, sind jedoch generell ein Problem. Sei dies ein altes NAS oder ein vergessenes CMS; Bots nutzten diese als Einfallstor um SPAM und Malware zu verbreiten.