Nem sikerül megválni a sok sebből vérző FTP-től

A sokat látott FTP protokoll még mindig meghatározó szerepet tölt be, miközben nagyon komoly biztonsági kockázatokat hordoz a használata.
 

A Censys biztonsági kutatói úgy határoztak, hogy két év eltelte után ismét megvizsgálják az FTP-protokollal kapcsolatos trendeket. A kutatásuk érdekes és egyben meglehetősen aggasztó képet fest a fájlátviteli szolgáltatásokról.
 
A kutatók internetes statisztikai és telemetriai adatok alapján hatmillió olyan rendszert, illetve kiszolgálót mutattak ki, amelyek az internet felől szabadon elérhetők, és FTP-szolgáltatást is biztosítanak. Ez összességében azt jelenti, hogy a korábbi, 2024-es felméréshez képest 40 százalékos csökkenés figyelhető meg az FTP használatát illetően. Ugyanakkor a hatmilliós szám még mindig nagyon elgondolkodtató biztonsági szempontból. Különösen azért, mert a kutatás során arra is fény derült, hogy e rendszerek megközelítőleg 50 százaléka nem támogat titkosított fájlátvitelt.
 
A több évtizedes múltra visszatekintő FTP titkosítási mechanizmusok nélküli használata nagyon komoly kockázatokat hordoz. Amikor 1971-ben Abhay Bhushan elérhetővé tette az FTP első specifikációját, akkor még a biztonság nem volt igazán szempont. Azóta viszont sok minden megváltozott a különféle hálózati protokollokkal kapcsolatos teljesítmény és biztonsági elvárások tekintetében.
 
A Censys szerint a feltárt FTP-kiszolgálók közül 2,45 millió nem mutatta jelét annak, hogy támogatna titkosított átvitelt. Ezek közül a legtöbb az USA-ban, Kínában, Hong Kongban, Japánban és Franciaországban működik. A legtöbbjük olyan neves szolgáltatók infrastruktúrájában üzemel, mint milyen például a China Unicom, az Alibaba vagy a GoDaddy.
 
A szakemberek azt is kimutatták, hogy az FTP-kiszolgálók esetében melyek a legszélesebb körben alkalmazott megoldások:

• Pure-FTPd (1,99 millió példány)
• ProFTPD (812.000 példány)
• vsftpd (379.000 példány)
• Microsoft IIS (259.000 példány)

 
Tenni kell a biztonságért
 
A Censys a kockázatok csökkentése érdekében a szervezeteknek azt javasolta, hogy lehetőségek szerint teljes mértékben mellőzzék az FTP használatát, és térjenek át biztonságosabb SFTP (SSH File Transfer Protocol) vagy FTPS alapú technológiákra. A cég szakértői úgy látják, hogy a legtöbb esetben nem igényel nagy munkát és sok erőforrást a titkosítást támogató protokollok használatára való áttérés, ezért ezt mindenképpen érdemes mihamarabb fontolóra venni.