image

Ongepatchte systemen binnen 5 minuten gehackt

dinsdag 15 juli 2008, 12:28 door Redactie, 10 reacties

Het Internet Storm Center (ISC) liet deze week weten dat ongepatchte systemen gemiddeld binnen 5 minuten gehackt zijn, volgens Duitse onderzoekers doen aanvallers er iets langer over. De 'Survival Time' grafiek van het ISC toont een somber vooruitzicht voor systemen die zonder patches aan het internet hangen.

Gemiddeld hebben die 4 minuten de tijd om alle patches binnen te halen, anders zijn ze geïnfecteerd met malware. Systemen die alleen via specifieke Unix poorten worden aangevallen hebben volgens het ISC een kleine 700 minuten de tijd. Specifieke Windows poorten worden gemiddeld binnen 34 minuten misbruikt.

Uit onderzoek van Laura Itzel blijkt dat gebruikers iets meer tijd hebben om hun machines te patchen. Ze analyseerde verschillende honeypots, waar de eerste binnen 30,6 minuten was overgenomen, terwijl de laatste iets meer dan 2 dagen overleefde. Ze constateerde tevens een groot verschil tussen systemen met een vast en dynamisch IP-adres. De computers met een vast IP-adres wisten gemiddeld 9,5 uur zonder patches te overleven, terwijl systemen met dynamische IP-adres binnen 2,5 gehackt waren. Zowel het ISC als Itzel concluderen dat het niet verstandig is om een ongepatchte machine direct op het web aan te sluiten.
afbeelding

Reacties (10)
15-07-2008, 12:48 door Anoniem
Aha, dus Unix 700 minuten (knap als standaard alleen poort
22 open staat) en Windows poorten 34 minuten en Windows 4
minuten ?!?
15-07-2008, 12:58 door Anoniem
Ik neem aan dat dit niet geldt voor een PC die achter een
NAT router zit?
(En als je geen vreemde websites bezoekt)
15-07-2008, 13:28 door Anoniem
Lees de achterliggende stukken:
These statistics are for old exploits against unpatched systems (emulated by
honeypots).

nou da's echt wel nieuws hoor, dit.
15-07-2008, 13:52 door Anoniem
Door Anoniem
Ik neem aan dat dit niet geldt voor een PC die achter een
NAT router zit?
(En als je geen vreemde websites bezoekt)

Lees het artikel, het gaat om machines rechtstreeks aangesloten op het
internet. Als het achter een NAT apparaat zit dan is deze transparant
aangesloten en filtert niets.

Voor de rest hoef je niets te doen, alleen je machine aan laten staan.
15-07-2008, 15:03 door Anoniem
While the survival time measured varies quite a bit
across methods used, pretty much all agree that placing an
unpatched Windows computer directly onto the Internet in the
hope that it downloads the patches faster than it gets
exploited are odds that you wouldn't bet on in Vegas.

Het lijkt mij oud nieuws, maar blijkbaar is er nog weinig
veranderd.
(met dank aan U4iA ;)
15-07-2008, 15:11 door SirDice
Door Anoniem
(knap als standaard alleen poort 22 open staat)
Linux en/of bsd, ja..

Wel eens Solaris geinstalleerd?
15-07-2008, 21:12 door Bitwiper
Door Anoniem
Ik neem aan dat dit niet geldt voor een PC die achter een NAT router zit?
(En als je geen vreemde websites bezoekt)
Inderdaad, een NAT-router is een prima bescherming indien je een nieuwe machine wilt inrichten, en hoeft niet duur te zijn ([url=http://www.paradigit.nl/info.php?group=17&art=10003931]ca. € 30 bij Paradigit[/url]). Ook als je een computer wilt inrichten aan een lokaal netwerk dat je niet vertrouwt kun je er probleemloos zo'n routertje tussengooien; by default zal deze aan z'n WAN ingang een DHCP adres van het bestaande LAN krijgen, en dat routerje heeft zelf een DHCP server voor PC's aangesloten op zijn uitgangen (4 in het bovenstaande routertje).

Indien je zonder NAT een PC direct aan internet hangt geldt het bovenstaande verhaal alleen voor XPSP1 en ouder (met name Win2000 machines zijn out-of-the box een soort Emmenthaler).

Als je een PC installeert vanaf een XP+SP2 CD of later, dan heb je meteen al een behoorlijk betrouwbare firewall die kwetsbare services met luisterende poorten beschermt (natuurlijk was het beter geweest als MS die services pas zou starten op het moment dat je ze echt nodig hebt; wat heeft een eenzame thuis PC in vredesnaam aan een server service?). Zo'n PC eerst zonder netwerkstekker installeren, dan zorgen dat er in de Windows Firewall geen exceptions zijn, dan is het in principe safe om de PC direct op internet aan te sluiten en Windows Update (of Microsoft Update) te draaien. Maar zelf zou ik er, voor de zekerheid, altijd een NAT-routertje tussen gooien.
16-07-2008, 09:42 door spatieman
is dit niet oud nieuws??
het is al jaren bekend, als je een versie pc aan het Inet
hangt, ZONDER firewall , dat het ding binnen 5 minuten een
nieuwe eigenaar heeft..
16-07-2008, 14:11 door Anoniem
vreemd
heb ergens een webserver/mail server staan die al 2 jaar
ongepatched is omdat er nog een hele oude en dus inmiddels
unsupported linux distro opstaat en die is nog steeds niet
gehacked...

draai regelmatig verschillende rootkit detectors en
dergelijke.. maar vooralsnog geen enkele succesvolle hack...

volgens mij gaan deze testjes dan ook uit van systemen
zonder firewall... maar zie dat niet terug in het artikel.

aangezien zelfs windows tegenwoordig standaard een firewall
heeft is dit hele artikel behoorlijk nietszeggend.
17-07-2008, 10:53 door Anoniem
Door Anoniem
Ik neem aan dat dit niet geldt voor een PC die achter een
NAT router zit?
(En als je geen vreemde websites bezoekt)

yup, tenzij er een gerichte aanval plaats vindt, dan biedt
een nat verder geen bescherming
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.