Несмотря на возраст более чем в полвека и наличие современных альтернатив, классический протокол передачи файлов FTP по-прежнему заметно присутствует в глобальной сети. По данным нового исследования компании Censys, около 6 миллионов систем с доступным из интернета FTP-сервисом по-прежнему «торчат» в сети, и почти половина из них не демонстрирует признаков использования шифрования.
Масштаб проблемы: насколько распространен незашифрованный FTP
Согласно отчету Censys, сегодня FTP-сервисы обнаруживаются примерно у 2,72% всех «видимых» в интернете систем. При этом количество хостов с внешним доступом по FTP за последние годы сокращается: с 2024 года их число уменьшилось примерно на 40% — с 10,1 млн до 5,94 млн. Тем не менее, даже оставшаяся доля — это критически большой пласт инфраструктуры, который часто обслуживает чувствительные данные.
Ключевая проблема выявленных FTP-серверов — отсутствие должного шифрования трафика. Аналитики зафиксировали, что у 2,45 млн FTP-сервисов во время сканирования не наблюдалось вообще никаких признаков TLS-хендшейка. Формально это не стопроцентное доказательство того, что данные всегда передаются в открытом виде, но на практике такое поведение почти всегда означает отсутствие защищенного канала.
Технические детали: где именно ломается безопасность FTP
Отсутствие TLS и устаревшие схемы аутентификации
Среди 2,45 млн потенциально нешифрованных FTP-служб Censys выделяет несколько критичных категорий:
— 994 000 сервисов не поддерживают команду AUTH TLS на сканируемом порту, что говорит о невозможности установить защищенное FTPS-соединение.
— 813 000 серверов запрашивают пароль до установления зашифрованного канала. В такой конфигурации учетные данные пользователей могут передаваться в открытом виде и легко перехватываться злоумышленниками на любом участке сети.
— более 170 000 хостов полностью лишены поддержки Explicit TLS, то есть не способны перейти на защищенный режим даже при наличии соответствующей настройки на стороне клиента.
С точки зрения кибербезопасности это означает, что для множества публично доступных FTP-серверов возможны классические атаки типа перехвата трафика (Man-in-the-Middle), массового сбора учетных данных и чтения передаваемых файлов. Для организаций это напрямую связано с рисками утечек, компрометации учетных записей и несоответствия требованиям стандартов (например, PCI DSS, GDPR и отраслевых регуляций).
География и провайдеры: где больше всего открытых FTP-серверов
Наибольшее количество FTP-хостов, доступных из интернета, зафиксировано в США — около 1,2 млн. Далее в рейтинге следуют:
— Китай — 866 000 хостов;
— Германия — 467 000;
— Гонконг — 415 000;
— Япония — 366 000;
— Франция — 343 000.
С точки зрения автономных систем и провайдеров лидирует China Unicom (CHINA169) — около 405 000 FTP-хостов. За ним следуют Alibaba (227 000), OVH (177 000), Hetzner (138 000), KDDI Web Communications (127 000) и GoDaddy (126 000). Такое распределение указывает на то, что значительная доля опасных конфигураций появляется именно в среде массового хостинга и широкополосного доступа.
Какое ПО чаще всего используется для FTP и в чем риск настроек по умолчанию
Самым распространенным серверным ПО, по данным Censys, остается Pure-FTPd, на котором работает около 1,99 млн сервисов. Далее следуют ProFTPD (812 000) и vsftpd (379 000), хорошо известный как стандартный FTP-демон во многих дистрибутивах Linux.
Отдельное внимание исследователи уделяют Microsoft IIS FTP. На IIS приходится порядка 259 000 FTP-сервисов, и более чем у 150 000 из них шифрование не настроено вовсе. Поскольку FTP-роль в Windows Server часто включается «галочкой» при развертывании, администраторы нередко оставляют дефолтные, минимально безопасные конфигурации — этого достаточно, чтобы сервер стал легкой целью для атак.
Анализ географии, автономных систем и используемого ПО позволяет сделать вывод: большинство FTP-конфигураций в сети — побочный эффект настроек по умолчанию, а не результат осознанного архитектурного решения. Это особенно характерно для дешевого виртуального хостинга, старых проектов и временных файловых площадок, забытых после первоначального развертывания.
Рекомендации: чем заменить FTP и как снизить риски
Эксперты настаивают: классический FTP в открытом виде сегодня не должен использоваться для передачи данных — ни в корпоративной среде, ни в публичных сервисах. Оптимальная стратегия для администраторов и владельцев ресурсов включает несколько шагов:
— Полный отказ от FTP в пользу SFTP (подсистема SSH) или FTPS (FTP поверх TLS). Оба варианта обеспечивают шифрование трафика и поддерживаются большинством популярных клиентов и библиотек.
— Там, где сменить протокол сложно по техническим или организационным причинам, необходимо как минимум включить Explicit TLS и принудительное использование защищенного режима для всех учетных записей. Современные FTP-серверы, такие как Pure-FTPd и vsftpd, поддерживают этот режим нативно и требуют в основном корректной настройки, а не миграции на другое ПО.
— Регулярный аудит открытых портов и служб, использование внешних сканеров (например, Censys, Shodan и аналогичных инструментов) для проверки видимости FTP-сервисов из интернета и выявления унаследованных или забытых инсталляций.
— Внедрение политик минимально необходимого доступа: ограничение подключения к файловым сервисам по IP-адресам, использование VPN, многофакторной аутентификации и журналирования действий пользователей с последующим анализом логов.
С учетом сохраняющегося объема незашифрованных FTP-серверов, организациям имеет смысл проактивно пересмотреть свою инфраструктуру: отключить устаревшие сервисы, внедрить SFTP или FTPS и регулярно мониторить поверхность атаки. Такие шаги не только снижают риск утечек данных и компрометации учетных записей, но и помогают соответствовать современным требованиям комплаенса и отраслевым стандартам информационной безопасности.
