Newsletter heise-Bot heise-Bot Push Nachrichten Push Push-Nachrichten

c't deckt auf: Dateien, IoT und Industrieanlagen ungeschützt im Netz

Seite 3: Netzlaufwerke für alle

Inhaltsverzeichnis

Den ersten Scan starteten wir auf SMB-Port 445. Windows-Nutzer kennen das Protokoll von den Windows-Dateifreigaben, aber auch Linux-Maschinen und NAS können SMB anbieten. Die Liste der Ergebnisse war lang. Bei etwa 63.000 IPs meldete sich ein SMB-Dienst. Auf diese Liste ließen wir ein Skript los, das einen SMB-Verbindungsaufbau ohne Zugangsdaten probierte.

Die meisten Server brachen die Verbindung ab oder verlangten ein Login. Etwa 1500 Server antworteten bereitwillig auf unsere Anfragen und listeten die verfügbaren Freigaben. Einige Server boten sogar noch SMB 1 an, für das seit Jahren Exploits bekannt sind. Uns interessierten – schon um jeden rechtlichen Ärger zu vermeiden – aber nur die Freigaben, die ohne jede Anmeldung les- und/oder beschreibbar waren. Davon gab es viele: So fanden wir die gesamte Buchhaltung zweier südamerikanischer Baufirmen und eines mittelamerikanischen Urlaubsclubs, Verträge, Rechnungen und Beschlüsse einer asiatischen Regionalverwaltung und viele NAS-Geräte.

Über 63.000 SMB-Server fanden wir weltweit im Internet. Auf viele konnte man ohne Zugangsdaten zugreifen.

Portweiterleitung aktiv

Bei den NAS handelt es sich um ein systematisches Problem, nicht immer hat der Nutzer die Portweiterleitung per Hand im Router aktiviert. Viele Router gestatten es Geräten im Netzwerk, per UPnP eine solche Weiterleitung selbst einzurichten. Öffnet das NAS Port 445 in der Firewall, ist die Katastrophe perfekt. Deaktivieren Sie daher UPnP-Freigaben in Ihrem Router. Die Fritzbox listet unter "Internet / Freigaben / Portfreigaben" alle Geräte mit offenen Ports auf. Entfernen Sie hier alle Haken in der Spalte "Selbstständige Portfreigabe" und klicken Sie auf "Übernehmen".

Möchte man verhindern, dass das NAS per UPnP ein Loch in die Firewall bohrt und Daten ungewollt mit der Welt teilt, muss man die Funktion im Router deaktivieren.

Manche NAS bieten Freigaben für Apples Backup-System Time Machine an, die grundsätzlich ohne Anmeldung erreichbar sind. Im lokalen Netz mag das praktisch sein, um den Mac zu sichern, in Kombination mit einer Portfreigabe ist das verheerend. Wir fanden zahlreiche Komplett-Backups von Apple-Nutzern weltweit. Bei vielen NAS waren wir auch nicht die ersten Besucher. Hier hatten schon Verschlüsselungstrojaner zugeschlagen.

Offene Unternehmenskommunikation

Auch ein grober Schnitzer aus Deutschland war dabei, zur Abwechslung mal kein NAS. Ein nordrhein-westfälischer Büromöbelhändler hatte seinen Windows-Server ins Netz gestellt, damit die Mitarbeiter bequem auf die Daten zugreifen können – leider konnte das auch jeder nicht angemeldete Besucher. Die gesamte Unternehmenskommunikation war per SMB für jedermann zugänglich, darunter Rechnungen der letzten Jahre, Kundenlisten, Umsatzauswertungen, Kostenvoranschläge. Wir haben den Anbieter darauf aufmerksam gemacht; er hat die Lücke zügig geschlossen und zugesichert, den zuständigen Landesdatenschutzbeauftragten zu informieren.

Die Freigaben lagen auch nicht auf einer Maschine im eigenen Netz, sondern auf einer virtuellen Maschine bei einem Hoster. Die haben oft keine separate Firewall, sodass man sich unbedingt darum kümmern muss, die Firewall des Betriebssystems einzurichten. Im Gespräch mit uns war der IT-Verantwortliche des kleinen Unternehmens überrascht, dass die Freigabe in den Weiten des Netzes gefunden werden konnte. Den Vorfall nahm er zum Anlass, VPN bei einem Dienstleister in Auftrag zu geben.

Was tun?

All diese Freigaben fanden wir mit einem oberflächlichen Scan, wir mussten keine Zugangssicherungen überwinden. Eine Absicherung der Freigaben per Authentifikation ist zwar schon ein Schritt mehr, reicht gegen Angreifer aber nicht aus. SMB gehört zu den sehr geschwätzigen Protokollen. Auch wenn man von außen nicht auf die Freigaben selbst, sondern nur auf die Übersicht zugreifen kann oder Details zur verwendeten Software sieht, ist das schon zu viel. Aus unserer Sicht gehört SMB ins lokale Netz, nicht ins Internet! Wer Netzwerkfreigaben braucht, muss ein VPN einrichten.

Alternativ können Sie über eine selbstgehostete Nextcloud-Instanz nachdenken (sofern Sie Admin-Erfahrungen mitbringen). Und selbst Server von Google, Amazon und Microsoft sind immer noch ein datenschutzfreundlicherer Ort als eine laienhaft ins Internet gehängte SMB-Freigabe.

Heise investigativ
c't deckt auf: Sicherheitslücke bei Vodafone

Viele c’t-Investigativ-Recherchen sind nur möglich dank anonymer Informationen von Hinweisgebern.

Wenn Sie Kenntnis von einem Missstand haben, von dem die Öffentlichkeit erfahren sollte, können Sie uns Hinweise und Material zukommen lassen. Nutzen Sie dafür bitte unseren anonymen und sicheren Briefkasten.

https://heise.de/investigativ

(jam)

Mehr zum Thema NEU

Immer informiert bleiben: Klicken Sie auf das Plus-Symbol an einem Thema, um diesem zu folgen. Wir zeigen Ihnen alle neuen Inhalte zu Ihren Themen.
Mehr erfahren.

Spiele

nach oben
Alle Angebote
Newsletter heise-Bot heise-Bot Push Nachrichten Push Push-Nachrichten