W artykule:
File Transfer Protocol (FTP) jest tak podstawową metodą, jak wysyłanie plików – bez dzwonków,bez gwizdków … nawet nie ma o czym mówić. Został wynaleziony w czasach, gdy słowo „haker” nie miało nic wspólnego z komputerami, więc pytanie brzmi, czy nadszedł czas, aby FTP w końcu przeszedł na emeryturę?
Internet nie zawsze był polem minowym, jakim jest obecnie, gdzie musimy sprawdzać każdy link przed kliknięciem i nieustannie martwić się o to, jak bezpieczne jest nasze połączenie.
Bezpieczeństwo po prostu nie było problemem, jak to jest dzisiaj, hakowanie nie było karierą, a ludzie wysyłali swoje dane bankowe w e-mailach.
Oznacza to, że we wczesnych latach FTP miał jedno zadanie – transport plików/S Z A do B.
Może to być wszystko, od przesyłania treści witryny do serwerów (powszechnie stosowanych w świecie WordPress) do pobierania pakietów oprogramowania z repozytoriów online, a nawet po prostu przesyłania plików, które są zbyt duże dla poczty e-mail.
Być może od dziesięcioleci był on podstawą świata transferu plików, ale teraz są bardziej nowoczesne i bezpieczne metody, czy nadszedł czas, aby postawić FTP na półce, wraz z telegramami i faksami?
Oczywiście, a dzisiaj przyjrzymy się, dlaczego…
Ataki typu Man-in-the-Middle
Czy kiedykolwiek grałeś w grę z dzieciństwa, w której ty i przyjaciel rzucacie piłkę tam iz powrotem do siebie, podczas gdy inny gracz stoi pośrodku i próbuje ją przechwycić?
Jest to świetny sposób, aby obrazować, co dzieje się podczas ataku man-in-the-middle (zwłaszcza jeśli facet w środku jest niewidoczny!).
Ataki mogą przybrać kilka różnych form, ale główną koncepcją jest to, że dwie strony przekazują informacje między sobą z kimś pośrodku desperacko próbującym je wyrwać.
Mogą one wahać się od cichego obserwowania wymiany danych, podczas gdy napastnicy szukają okazji do wykorzystania informacji na swoją korzyść lub przerywania wymiany przez ustawienie obozu w środku i manipulowanie informacjami.
Oznacza to, że w przypadku obrotu poufnymi informacjami, takimi jak dane bankowe lub informacje o klientach, atakujący miałby dzień pola.
Chyba że dane są zaszyfrowane.
Jeśli pliki są zaszyfrowane, nie powinno to stanowić większego problemu, ponieważ jeśli mężczyźnie (lub kobiecie) w środku uda się dostać w swoje ręce pliki, byłyby one całkowicie nieczytelne.
Pomyśl o tym, że możesz mówić tylko po angielsku i zdobyć mnóstwo plików w języku elfickim, bez możliwości ich przetłumaczenia.
Jeśli chodzi o ataki typu man-in-the-middle, kluczem jest czujność i uznanie, że za każdym razem, gdy masz połączenie z internetem, zawsze istnieje szansa, że możesz być podatny na jakąś formę ataku.
Zapewniając, że Twoje pliki są wysyłane tylko zaszyfrowanymi kanałami, rozsądna kopia zapasowa w przypadku naruszenia kanału komunikacji, powinieneś aktywnie próbować uniemożliwić atakującym uzyskanie dostępu do Twoich plików.
Proste sposoby na to obejmują:
- Korzystaj z wirtualnej sieci prywatnej (VPN), zwłaszcza podczas łączenia się z sieciami publicznymi
- Nie używaj połączeń WiFi, które nie są chronione bezpiecznym hasłem
- Nigdy nie przeprowadzaj transakcji finansowych ani nie wysyłaj poufnych danych za pośrednictwem sieci publicznych
- Zachowanie ostrożności w przypadku witryn oznaczonych jako niezabezpieczone przez przeglądarkę.
Jeśli podejmiesz wszystkie te środki ostrożności, ale komuś nadal uda się uzyskać dostęp do Twoich plików (hakerzy są naprawdę inteligentni w dzisiejszych czasach-pomyśl o Mr robocie), przynajmniej masz fakt, że Twoje pliki są zaszyfrowane, aby wrócić do…
… chyba, że wysłałeś je przez FTP.
Dlaczego FTP nadal jest czymś?
Gdybym rządził światem, FTP zostałby natychmiast wyrzucony do śmieci.
Jest przestarzały, niebezpieczny i z innymi znacznie bezpieczniejszymi alternatywami łatwo dostępnymi, trudno jest znaleźć ważne powody, dla których ludzie nadal na nim polegają.
Więc dlaczego ludzie nadal go używają?
Ludzie nie lubią zmian
FTP istnieje dłużej niż internet.
Nie, poważnie-specyfikacja została napisana w 1971 roku, ponad dekadę przed stworzeniem Internetu i world wide web.
Nie jest więc zaskoczeniem, że koncepcja stworzona prawie 50 lat temu nie do końca odpowiada naszym potrzebom w 2020 roku.
Ale, jak wielu deweloperów powie „jeśli to działa, nie dotykaj go”.
FTP nadal robi to, co powinien, tj. przenosi pliki z jednego serwera na drugi … dopóki nie staniesz się celem ataku.
Pomyśl o tym jak o pozostawieniu otwartych drzwi wejściowych. Wiesz, że istnieją złodzieje i prawdopodobnie znasz nawet kogoś, kto włamał się do ich domu w przeszłości, ale czy kiedykolwiek zostawiasz otwarte drzwi, gdy wpadasz do sklepu?
Iluzja niewrażliwości lub optymizmu jest często powodem, dla którego ktoś nie podejmuje odpowiednich środków ostrożności. Ludzie niechętnie wierzą, że coś złego może im się przytrafić, więc dopóki tak się nie stanie, są bardziej skłonni do podejmowania niepotrzebnego ryzyka.
Przy tak wielu bezpieczniejszych alternatywach można śmiało powiedzieć, że rozsądne jest porzucenie FTP, zanim doświadczysz z pierwszej ręki, jak ryzykowne może być.
FTP jest szybszy niż SFTP
Jeśli łączysz się z serwerem za pomocą protokołu SFTP po tym, jak przez wiele lat byłeś lojalnym użytkownikiem FTP, możesz być nieco rozczarowany spadkiem prędkości w porównaniu do tego, do czego przywykłeś.
Dzieje się tak dlatego, że podczas transferu SFTP odbywa się wiele dodatkowych pakietów i szyfrowania, które nie są obecne podczas korzystania z FTP.
Jest kilka rzeczy, które warto poświęcić dla szybkości, jednak bezpieczeństwo prawdopodobnie nie jest jedną z nich.
Niektóre przepisy zabraniają korzystania z FTP
Tak, dobrze to przeczytałeś.
Ponieważ powszechnie wiadomo, że FTP nie jest bezpieczną metodą przesyłania plików, wiele krajów zakazało go.
Istnieją różne przepisy regulujące sposób przesyłania danych, w tym ustawa Health Insurance Portability and Accountability Act (HIPAA), która uniemożliwia organizacjom opieki zdrowotnej i ich partnerom biznesowym przesyłanie plików za pomocą FTP. Stanowi ona, że transfery powinny być dokonywane wyłącznie przy użyciu SFTP, a mogą istnieć nawet inne elementy, które muszą być spełnione, aby zapewnić zgodność.
Jeśli chodzi o jakąkolwiek formę transakcji kartą, Payment Card Industry Data Security Standard (PCI-DSS) stanowi, że dane karty powinny być wysyłane przez FTP tylko wtedy, gdy jest to absolutnie konieczne i wymaga, aby nadawca udokumentował pełne szczegóły transferu, w tym Ustawienia portu i zapory sieciowej oraz powody korzystania z tej metody.
Ogólne rozporządzenie o ochronie danych (RODO) definiuje dane osobowe jako wszelkie dane odnoszące się do”zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej („osoby, której dane dotyczą”)”. Oznacza to, że obejmuje on dane dotyczące osoby, takie jak ” imię i nazwisko, numer identyfikacyjny, dane o lokalizacji, identyfikator internetowy lub jeden lub więcej czynników specyficznych dla fizycznej, fizjologicznej, genetycznej, psychicznej, ekonomicznej, kulturowej lub społecznej tożsamości tej osoby fizycznej.”
Jest tak wiele informacji, które mogą należeć do tej kategorii, że zdecydowanie lepiej jest grać bezpiecznie, niż przepraszać. Nawet jeśli nie uważasz, że dane, które wysyłasz, są szczególnie cenne, powinieneś sprawdzić, czy nie podlegają one RODO lub innym podobnym przepisom, zanim zdecydujesz się na FTP.
Jeszcze lepiej, możesz przełączyć się na inną metodę na dobre.
Najważniejsze jest to, że jeśli wysyłasz dane, które są poufne, wrażliwe lub zawierają jakiekolwiek informacje, które byłyby niebezpieczne, gdyby wpadły w niepowołane ręce, to FTP nie wystarczy.
Alternatywy dla FTP
Mogę tu siedzieć cały dzień i zachwycać się tym, jak ważne jest binowanie FTP raz na zawsze i przejście na coś bezpieczniejszego, ale jeśli ma to być dużo dodatkowych kłopotów lub wymagać dodatkowych narzędzi lub kosztów, wiem, że wiele osób nie będzie przekonanych.
Dobrą wiadomością jest to, że inne metody przesyłania plików wyglądają dokładnie tak samo na końcu użytkownika.
Możesz dosłownie użyć tego samego klienta i wykonać te same kroki – wystarczy powiedzieć klientowi, której metody używasz.
Jak widać na zrzucie ekranu, istnieje opcja użycia zwykłego FTP, jednak ostrzega, że jest to niebezpieczne.
Tylko numer portu powinien się różnić – na końcu użytkownika interfejs będzie wyglądał tak samo, bez względu na to, jakiej metody użyjesz, więc dosłownie nie ma powodu, aby wybierać niezabezpieczoną opcję FTP.
FTP v FTPS
FTPS (File Transfer Protocol Secure) to prosty protokół FTP z dodatkowym zabezpieczeniem TLS (Transport Socket Layer) lub SSL (Secure Socket Layer).
Ta dodatkowa warstwa zabezpieczeń zapewnia uwierzytelnienie połączenia za pomocą certyfikatów, dzięki czemu klient i serwer mogą tworzyć zaufane i bezpieczne połączenie.
Zapewnia to dobry poziom ochrony, o ile wymagane certyfikaty są obecne.
Oczywiście zawsze zaleca się posiadanie certyfikatu w witrynie, aby zapewnić odwiedzających o jego legalności i zabezpieczyć połączenie, ale jeśli nie jest to możliwe, jeśli na przykład przesyłasz pliki do nowej witryny, nad którą aktualnie pracujesz, lepszym rozwiązaniem może być protokół SFTP.
SFTP All the Way
Wspominaliśmy o SFTP kilka razy, ale przyjrzyjmy się dokładnie, co to znaczy.
Secure File Transfer Protocol (SFTP) ma również warstwę ochrony, z której FTP nie korzysta, A która występuje w postaci połączenia Secure Shell (SSH).
Gdy korzystasz z połączenia SSH, Twoje pliki są szyfrowane i można je odszyfrować tylko za pomocą klucza, który będzie przechowywany przez klienta SFTP odbiorcy.
Oznacza to, że chociaż serwer odbiorcy mógł nie zostać uwierzytelniony certyfikatem, jak w przypadku FTPS, Twoje pliki są „kuloodporne” w podróży, ponieważ są całkowicie zaszyfrowane i chronione.
Jeśli przeczytałeś tak daleko i nadal uważasz, że FTP ma jakąkolwiek formę wartości w dzisiejszym klimacie online, to podziwiam Twoje zaangażowanie.
Ale jeśli jednak nie masz prawdziwego powodu do korzystania z FTP, sugeruję, abyś sprawdził nasz ostatni blog, który bada tajniki SFTP i pokazuje, jak z niego korzystać (wskazówka: jest dokładnie taki sam jak FTP, oprócz numeru portu i dodatkowego bezpieczeństwa).
A jeśli to nie zmieni twojego zdania, przynajmniej próbowałem!
Tagi:
