Nach dem Buchbinder-Leak: Datenlecks rechtzeitig erkennen

Nach dem Buchbinder-Leak: Datenlecks rechtzeitig erkennen

Wissen | Know-how

Bild: Shutterstock / posteriori

Datenlecks gibt es nicht nur bei Autovermietern und Arztpraxen. M?glicherweise stehen jetzt gerade auch Ihre Dateifreigaben frei zug?nglich im Netz. Mit den passenden Tools finden Sie es heraus und kommen Hackern zuvor.

Die Datenleaks bei dem gro?en Autovermieter Buchbinder und den Celler Orthop?diepraxen haben vieles gemeinsamen: In beiden F?llen waren sensible personenbezogene Daten frei über das Internet abrufbar – und in beiden F?llen wurden die Daten von einem SMB-Dateiserver serviert, wie ihn zum Beispiel Windows mitbringt.

Wer einen solchen Server betreibt, sollte genau wissen, was er tut. Grunds?tzlich ist eine schlechte Idee, eine solche Dateifreigabe ohne Authentifizierung oder nur mit schwachen Passw?rtern geschützt zu betreiben. Das f?llt einem sp?testens dann auf die Fü?e, wenn der Server – gewollt oder ungewollt – über das Internet erreichbar ist. Im Fall der Celler Arztpraxen war es eine Schwachstelle in der Router-Firmware, die letztlich dazu geführt hat, dass ein jeder die Daten aus dem Internet erreichen konnte. Genauso gut kann etwa ein falsch gesetztes H?kchen bei der Netzwerkeinrichtung zum Daten-GAU führen.

c't nachgehakt – Daten-GAU bei Buchbinder

Ganz gleich, ob Sie sich nur um Ihren Internetanschluss zu Hause kümmern oder das Firmennetz eines gro?en Konzerns administrieren: Es ist eine gute Idee, das Netz von Zeit zu Zeit aus der Perspektive eines Angreifers auf offene Dienste wie SMB-Freigaben abzuklopfen. Dazu scannt man es von au?en, also aus einem anderen Netz heraus. Sie k?nnen dazu zum Beispiel ein System nutzen, das über einen anderen Internetanschluss angebunden ist oder einen Server in der Cloud. Wichtig ist lediglich, dass sichergestellt ist, dass von dort aus alle wichtigen Ports in ausgehender Richtung durchkommen, also keine Dienste gefiltert werden. Dies ist inbesondere bei SMB wichtig, da einige Provider aus Sicherheitsgründen Verbindungen zu dem SMB-Port 445 blockieren. Wenn Sie sich nicht ganz sicher sind, ob gefiltert wird, k?nnen Sie einfach einen externen Scan-Dienst nutzen.

Das Standardwerkzeug für solche Versuche ist der Netzwerkscanner nmap, den es für alle wichtigen Desktop-Betriebssysteme gibt. Der Befehl nmap [IP-Adresse] klopft die angegebene IP auf die 1000 g?ngigsten Ports ab, darunter befindet sich auch Port 445 für SMB. über den Paramter -p kann man genau einstellen, welche Ports überprüft werden sollen.

Wer Herr über ein gro?es Netz mit vielen IP-Adressen ist, etwa in einem Unternehmen oder an einer Uni, kann auch IP-Bereiche als Ziel angeben. Ob es sich bei dem Zielsystem um einen Heimrouter oder einen Server handelt, spielt für nmap übrigens keine Rolle.

Eine weitere Option ist der Netzwerkcheck von heise Security. Es handelt sich dabei um einen nmap-Scan, der auf einem Server der nieders?chsischen Landesbeauftragten für Datenschutz ausgeführt wird. Auch hier kann man sowohl einen Standardscan ansto?en, der die wichtigsten Ports umfasst, als auch Portbereiche angeben. Die Gefahr, dass offene SMB-Ports durch Providerfilter unentdeckt bleiben, besteht hier nicht.

Roter Alarm: Der Netzwerkcheck von heise Security spürt Dienste auf, die unter Ihrer IP-Adresse ?ffentlich erreichbar sind. In diesem Beispiel sind die Ports 443 (üblicherweise HTTPS) und 445 (SMB) ansprechbar.

Im einfachsten Fall lassen Sie den Komplett-Check ausgew?hlt. überprüfen Sie unter "Ihre Anfrage kommt von der IP-Adresse", ob die angegebene IP-Adresse korrekt ist. Wenn Sie einen VPN-Zugang oder Proxy nutzen, steht hier m?glicherweise eine falsche IP, in diesem Fall sollten eine direkte Verbindung zu der Website aufbauen. Wenn die IP stimmt, klicken Sie darunter auf das H?kchen und "Scan starten". Kurz darauf pr?sentiert Ihnen der Netzwerkcheck seine Scanergebnisse.

Shodan scannt regelm??ig das Internet und listet ?ffentlich zug?ngliche Dienste auf.

Auch über ?ffentliche Datenbanken k?nnen Sie Server aufspüren, die über Ihre IP-Adresse aus dem Internet erreichbar sind. Die Daten stammen aus Port-Scans, mit denen die Anbieter regelm??ig weite Teile des Internets untersuchen. Anders als bei den beiden oben beschriebenen Verfahren erhalten Sie jedoch keine aktuellen Daten – der Scan kann durchaus einige Stunden oder Tage her sein. Wenn Sie mit einer dynamischen IP-Adresse online gehen, dann geh?ren die Daten also eventuell gar nicht zu Ihnen, sondern zu einem anderen Kunden des Providers, der die IP-Adresse vor Ihnen genutzt hat.

Der prominenteste der Scan-Dienste ist Shodan.io. Tippen Sie einfach Ihre externe IP-Adresse ins das Suchfeld und beenden Sie die Eingabe mit der Eingabetaste, kurz darauf erscheinen etwaige Suchtreffer. Bei den Suchergebnissen erfahren Sie, wie aktuell die angezeigten Daten sind (etwa "Added on 2020-01-22 15:51:48 GMT"), ein Klick auf einen Treffer f?rdert weitere Details zu Tage. Zu dem Server hinter der Domain heise.de etwa hat Shodan die folgenden Informationen erfasst: Shodan-Bericht

Ganz ?hnlich funktioniert der Scan-Dienst Censys.io, hier zum Beispiel die Auswertung für die heise-IP. Der Webserver antwortet auf den Ports 80 (HTTP) und 443 (HTTPS), unerwartete SMB-Server haben die beiden Scan-Dienste nicht entdeckt.

Dienste wie Cyberscan.io spüren nicht nur offene Dienste auf, sondern auch etwaige Sicherheitslücken. Wer Details einsehen will, ben?tigt allerdings einen Account.

Wer noch einen Schritt weiter gehen m?chte, dem kann cyberscan.io helfen. Der Online-Service sucht nicht nur nach offenen Diensten, sondern macht auch auf etwaige weitere Sicherheitsprobleme aufmerksam, etwa ungepatchte Sicherheitslücken in Web-Anwendungen. Das ist vor allem für Serverbetreiber interessant. Der in Flensburg ans?ssige Betreiber "Deutsche Gesellschaft für Cybersicherheit" hatte auch das Buchbinder-Datenleck entdeckt.

Gibt man auf cyberscan.io die Domain des zu überprüfenden Servers ein, erh?lt man einige Informationen über den Server und verwandte Systeme. Zudem macht der Dienst Andeutungen auf eventuelle Sicherheitslücken und deren Schweregrad. Wer Details wissen m?chte, muss allerdings mindestens ein Probeabo abschlie?en. Nach Angaben des Anbieters wird dabei überprüft, ob man tats?chlich befugt ist, die angegebene Domain zu untersuchen. Registrierte Mitglieder k?nnen auch ihre IP-Adresse checken.

Sto?en Sie auf Dienste, die aus dem Internet erreichbar sind, sollten Sie sich zun?chst die Frage stellen, ob diese überhaupt für die gesamte Welt zug?nglich sein müssen. Denn solche Dienste müssen natürlich auch gegen Angriffe aus dem Internet abgesichert sein. Das bedeutet konkret, dass stets die aktuelle Version der Server-Software sowie etwaiger Web-Anwendungen installiert sein muss. Zudem müssen alle kritischen Bereiche, die nicht für die ?ffentlichkeit bestimmt sind, mit einer starken Authentifizierung geschützt sein – also am besten mit angemessen starken Passw?rtern und einer Zwei-Faktor-Authentifizierung. Für SSH-Server ist die Public-Key-Authentifizierung ratsam. In Fall von SMB-Dateiservern ist es in den meisten F?llen eine schlechte Idee, diese aus dem Internet zug?nglich zu machen. Der beste Weg, auf Dienste aus der Ferne zuzugreifen, ist eine verschlüsselte VPN-Verbindung ins Netzwerk.

Dass ein Dienst über das Internet erreichbar ist, kann viele Gründe haben. Bei kleinen Netzen, etwa Zuhause oder in einem kleinen Unternehmen, führt der erste Weg in das Web-Interface des Routers. Hier dürfte eine passende Port-Forwarding-Regel zu finden sein, die Sie einfach l?schen, um externe Zugriffe auf den Dienst künftig zu verhindern. In gr??eren, komplexeren Netzwerken ist der Admin der erste Ansprechpartner. Er kann der Ursache auf den Grund gehen und eingehenden Verbindungen auf bestimmten Ports notfalls erstmal mit einer Firewall-Regel den Garaus machen, bis die Ursache gefunden ist.

Kommentare

Kommentare lesen (40 Beitr?ge)

汤姆叔叔影院