Det har i dagarna skrivits en del om sårbarheter i Remote Desktop Protokoll (RDP). Ett exempel på en bra artikel finns på idg.se och efter att jag läst den så roade jag mig shodan.io en stund. Exemplen som jag använder nedan kräver att man loggat in men det går snabbt att skapa ett konto där att leka med. Kom bara ihåg att inte använda något lösenord som du använder på andra platser. En bra lösenordshanterare löser det åt dig, använder själv enpass.io för det.
I artikeln hänvisas till inte bara till säkerhetshål utan även bruteforce-attacker där det testas en hel mängd lösenord som tillslut kanske träffar rätt lösenord och vips – så är man sårbar. I vissa fall kan era uppgifter sedan ligga på någon marknadsplats efter attacken.
Handen på hjärtat nu – ni företag som har RDP publicerat direkt på Internet utan extra skydd, vad har ni för lösenordspolicy?
Jag tänkte mest visa lite om shodan.io i detta inlägg. Gratisvarianten med inloggning utan att betala är något begränsad men man kommer mycket långt med den om man bara vill snoka runt lite.
Vi tar får första sökning – city:gävle port:”3389″
47 stycken servrar/datorer ser vi då. Företagsnamnen på bilden pekar på den Internetleverantör som används, inte på företagen själva som gjort det här.
För att göra det rättvist så gör vi samma sökning på city:siljansnäs port:”3389″. Det där med Geoip är inte alltid så enkelt då Interlan’s IP-adresser tycks befinna sig i Siljansnäs när de i själva verket finns i Bollnäs/Gävle. 🙂
”Bara” tre av våra Internetkunder verkar lite men då vi blev Internetleverantör sent så fick vi väldigt få IPv4-adresser så procentuellt tror jag vi ligger ganska lika t.ex Gävle Energi AB/Gavlenet.
Shodan ger även bra tips på vilka användarnamn som det går att använda för en bruteforce-attack. 🙂
Några Shodan-söktips –
net:192.0.2.0/24 – sök på allt shodan hittan inom det nätet ( OBS! 192.0.2.0/24 är ett dokumentations/exempelnät och används inte på Internet )
port:25 – hitta alla mailservrar
net:192.0.2.0/24 port:25 – hitta alla mailservrar inom 192.0.2.0-192.0.2.255
city:blattnicksele – hitta alla saker som finns i Blattnicksele
Det går så klart att kombinera port: city: & net: i sökningarna.
Med Shodan kan ni enkelt söka av er eget nät/IP-adress ni har mot Internet. Ni kanske tror ni vet allt om vad ni publicerat i brandväggen och tror den där gamla 2003-servern är avstängd.
Åter till artikeln på idg.se – Tusentals svenska företag öppna för gisslanattacker.
Jag skannade av andra platser och det finns ganska stora hostingföretag som har många servrar öppna för RDP utan någon annan säkerhet innan. Hur når vi dem och alla småföretag ”som gjort så här i alla år och det har fungerat bra”?
VPN med 2FA är det minsta man som kund ska kräva av hostingföretag, men hur får vi kunderna att kräva det?
Säkerhet är jobbigare än man tror ibland…
/Tobbe
PS: Ett blogg-inlägg helt utan #IPv6! 🙂
