Nach dem Buchbinder-Leak: Datenlecks rechtzeitig erkennen

Nach dem Buchbinder-Leak: Datenlecks rechtzeitig erkennen

Wissen | Know-how

Bild: Shutterstock / posteriori

Datenlecks gibt es nicht nur bei Autovermietern und Arztpraxen. Möglicherweise stehen jetzt gerade auch Ihre Dateifreigaben frei zugänglich im Netz. Mit den passenden Tools finden Sie es heraus und kommen Hackern zuvor.

Die Datenleaks bei dem großen Autovermieter Buchbinder und den Celler Orthopädiepraxen haben vieles gemeinsamen: In beiden Fällen waren sensible personenbezogene Daten frei über das Internet abrufbar – und in beiden Fällen wurden die Daten von einem SMB-Dateiserver serviert, wie ihn zum Beispiel Windows mitbringt.

Wer einen solchen Server betreibt, sollte genau wissen, was er tut. Grundsätzlich ist eine schlechte Idee, eine solche Dateifreigabe ohne Authentifizierung oder nur mit schwachen Passwörtern geschützt zu betreiben. Das fällt einem spätestens dann auf die Füße, wenn der Server – gewollt oder ungewollt – über das Internet erreichbar ist. Im Fall der Celler Arztpraxen war es eine Schwachstelle in der Router-Firmware, die letztlich dazu geführt hat, dass ein jeder die Daten aus dem Internet erreichen konnte. Genauso gut kann etwa ein falsch gesetztes Häkchen bei der Netzwerkeinrichtung zum Daten-GAU führen.

c't nachgehakt – Daten-GAU bei Buchbinder

Ganz gleich, ob Sie sich nur um Ihren Internetanschluss zu Hause kümmern oder das Firmennetz eines großen Konzerns administrieren: Es ist eine gute Idee, das Netz von Zeit zu Zeit aus der Perspektive eines Angreifers auf offene Dienste wie SMB-Freigaben abzuklopfen. Dazu scannt man es von außen, also aus einem anderen Netz heraus. Sie können dazu zum Beispiel ein System nutzen, das über einen anderen Internetanschluss angebunden ist oder einen Server in der Cloud. Wichtig ist lediglich, dass sichergestellt ist, dass von dort aus alle wichtigen Ports in ausgehender Richtung durchkommen, also keine Dienste gefiltert werden. Dies ist inbesondere bei SMB wichtig, da einige Provider aus Sicherheitsgründen Verbindungen zu dem SMB-Port 445 blockieren. Wenn Sie sich nicht ganz sicher sind, ob gefiltert wird, können Sie einfach einen externen Scan-Dienst nutzen.

Das Standardwerkzeug für solche Versuche ist der Netzwerkscanner nmap, den es für alle wichtigen Desktop-Betriebssysteme gibt. Der Befehl nmap [IP-Adresse] klopft die angegebene IP auf die 1000 gängigsten Ports ab, darunter befindet sich auch Port 445 für SMB. Über den Paramter -p kann man genau einstellen, welche Ports überprüft werden sollen.

Wer Herr über ein großes Netz mit vielen IP-Adressen ist, etwa in einem Unternehmen oder an einer Uni, kann auch IP-Bereiche als Ziel angeben. Ob es sich bei dem Zielsystem um einen Heimrouter oder einen Server handelt, spielt für nmap übrigens keine Rolle.

Eine weitere Option ist der Netzwerkcheck von heise Security. Es handelt sich dabei um einen nmap-Scan, der auf einem Server der niedersächsischen Landesbeauftragten für Datenschutz ausgeführt wird. Auch hier kann man sowohl einen Standardscan anstoßen, der die wichtigsten Ports umfasst, als auch Portbereiche angeben. Die Gefahr, dass offene SMB-Ports durch Providerfilter unentdeckt bleiben, besteht hier nicht.

Roter Alarm: Der Netzwerkcheck von heise Security spürt Dienste auf, die unter Ihrer IP-Adresse öffentlich erreichbar sind. In diesem Beispiel sind die Ports 443 (üblicherweise HTTPS) und 445 (SMB) ansprechbar.

Im einfachsten Fall lassen Sie den Komplett-Check ausgewählt. Überprüfen Sie unter "Ihre Anfrage kommt von der IP-Adresse", ob die angegebene IP-Adresse korrekt ist. Wenn Sie einen VPN-Zugang oder Proxy nutzen, steht hier möglicherweise eine falsche IP, in diesem Fall sollten eine direkte Verbindung zu der Website aufbauen. Wenn die IP stimmt, klicken Sie darunter auf das Häkchen und "Scan starten". Kurz darauf präsentiert Ihnen der Netzwerkcheck seine Scanergebnisse.

Shodan scannt regelmäßig das Internet und listet öffentlich zugängliche Dienste auf.

Auch über öffentliche Datenbanken können Sie Server aufspüren, die über Ihre IP-Adresse aus dem Internet erreichbar sind. Die Daten stammen aus Port-Scans, mit denen die Anbieter regelmäßig weite Teile des Internets untersuchen. Anders als bei den beiden oben beschriebenen Verfahren erhalten Sie jedoch keine aktuellen Daten – der Scan kann durchaus einige Stunden oder Tage her sein. Wenn Sie mit einer dynamischen IP-Adresse online gehen, dann gehören die Daten also eventuell gar nicht zu Ihnen, sondern zu einem anderen Kunden des Providers, der die IP-Adresse vor Ihnen genutzt hat.

Der prominenteste der Scan-Dienste ist Shodan.io. Tippen Sie einfach Ihre externe IP-Adresse ins das Suchfeld und beenden Sie die Eingabe mit der Eingabetaste, kurz darauf erscheinen etwaige Suchtreffer. Bei den Suchergebnissen erfahren Sie, wie aktuell die angezeigten Daten sind (etwa "Added on 2020-01-22 15:51:48 GMT"), ein Klick auf einen Treffer fördert weitere Details zu Tage. Zu dem Server hinter der Domain heise.de etwa hat Shodan die folgenden Informationen erfasst: Shodan-Bericht

Ganz ähnlich funktioniert der Scan-Dienst Censys.io, hier zum Beispiel die Auswertung für die heise-IP. Der Webserver antwortet auf den Ports 80 (HTTP) und 443 (HTTPS), unerwartete SMB-Server haben die beiden Scan-Dienste nicht entdeckt.

Dienste wie Cyberscan.io spüren nicht nur offene Dienste auf, sondern auch etwaige Sicherheitslücken. Wer Details einsehen will, benötigt allerdings einen Account.

Wer noch einen Schritt weiter gehen möchte, dem kann cyberscan.io helfen. Der Online-Service sucht nicht nur nach offenen Diensten, sondern macht auch auf etwaige weitere Sicherheitsprobleme aufmerksam, etwa ungepatchte Sicherheitslücken in Web-Anwendungen. Das ist vor allem für Serverbetreiber interessant. Der in Flensburg ansässige Betreiber "Deutsche Gesellschaft für Cybersicherheit" hatte auch das Buchbinder-Datenleck entdeckt.

Gibt man auf cyberscan.io die Domain des zu überprüfenden Servers ein, erhält man einige Informationen über den Server und verwandte Systeme. Zudem macht der Dienst Andeutungen auf eventuelle Sicherheitslücken und deren Schweregrad. Wer Details wissen möchte, muss allerdings mindestens ein Probeabo abschließen. Nach Angaben des Anbieters wird dabei überprüft, ob man tatsächlich befugt ist, die angegebene Domain zu untersuchen. Registrierte Mitglieder können auch ihre IP-Adresse checken.

Stoßen Sie auf Dienste, die aus dem Internet erreichbar sind, sollten Sie sich zunächst die Frage stellen, ob diese überhaupt für die gesamte Welt zugänglich sein müssen. Denn solche Dienste müssen natürlich auch gegen Angriffe aus dem Internet abgesichert sein. Das bedeutet konkret, dass stets die aktuelle Version der Server-Software sowie etwaiger Web-Anwendungen installiert sein muss. Zudem müssen alle kritischen Bereiche, die nicht für die Öffentlichkeit bestimmt sind, mit einer starken Authentifizierung geschützt sein – also am besten mit angemessen starken Passwörtern und einer Zwei-Faktor-Authentifizierung. Für SSH-Server ist die Public-Key-Authentifizierung ratsam. In Fall von SMB-Dateiservern ist es in den meisten Fällen eine schlechte Idee, diese aus dem Internet zugänglich zu machen. Der beste Weg, auf Dienste aus der Ferne zuzugreifen, ist eine verschlüsselte VPN-Verbindung ins Netzwerk.

Dass ein Dienst über das Internet erreichbar ist, kann viele Gründe haben. Bei kleinen Netzen, etwa Zuhause oder in einem kleinen Unternehmen, führt der erste Weg in das Web-Interface des Routers. Hier dürfte eine passende Port-Forwarding-Regel zu finden sein, die Sie einfach löschen, um externe Zugriffe auf den Dienst künftig zu verhindern. In größeren, komplexeren Netzwerken ist der Admin der erste Ansprechpartner. Er kann der Ursache auf den Grund gehen und eingehenden Verbindungen auf bestimmten Ports notfalls erstmal mit einer Firewall-Regel den Garaus machen, bis die Ursache gefunden ist.

Kommentare

Kommentare lesen (40 Beiträge)