image

Scan 25 miljoen Nederlandse IP-adressen: 1 klacht

vrijdag 2 november 2012, 11:20 door Redactie, 13 reacties

Het scannen van 25 miljoen van de 48 miljoen Nederlandse IP-adressen levert slechts één klacht op. Dat zegt Ralph Moonen van het Nederlandse beveiligingsbedrijf ITSX tegenover Security.nl. Het bedrijf haalde gisteren het nieuws dat 13.000 Nederlandse IP-adressen via SNMP te benaderen zijn. Een probleem dat al meer dan tien jaar oud is. Ook Moonen erkent dat het geen nieuws is, maar dat het probleem nog altijd bestaat.

Voor het scannen van de 25 miljoen IP-adressen gebruikte hij het programma Unicornscan. Ondanks het grote aantal scans ontving Moonen slechts één abusemelding. "Ik heb de scans sequentieel gedaan en niet gerandomiseerd. Het had kunnen opvallen." Moonen paste wel zij bandbreedte iets aan. "Ik wilde natuurlijk niet dat het op een Denial of Service-aanval leek. Als je over een 10 gigabyte pijp een dergelijke scan doet zonder te randomisen, dan lijkt het aan de ontvanger zijn kant heel erg op een DoS.

Moonen gebruikte Unicornscan omdat dit een 'stateless scanner' is en veel sneller kan scannen dan bijvoorbeeld Nmap. Ondanks de snelheid van Unicornscan duurde het scannen van de 25 miljoen Nederlandse IP-adressen zo'n drie maanden. Daarbij werd er alleen op SNMP gescand.

Probleem
"Het is inmiddels 2012 en het is nog steeds een probleem. Dan mag je daar best wat aandacht aan besteden. Het probleem is er altijd al geweest, ik wijs er alleen op." Moonen kreeg kritiek of zijn actie wel zo verstandig was. "Ik zeg responsible disclosure. Als je iets vindt moet je dat publiceren, maar wel geanonimiseerd. We hebben dan ook geen enkele naam genoemd."

Moonen merkt op dat fabrikanten soms SNMP standaard inschakelen. "En dat zijn soms apparaten die niet bedoeld zijn om aan het internet te hangen, maar aan een intern netwerk, zoals printers. Die hebben we dan ook niet veel gevonden. Toch vonden we een hoop componenten waarvan je hoopt dat ze goed geconfigureerd zijn."

De verantwoordelijkheid voor het probleem ligt zowel bij leveranciers als systeembeheerders, gaat Moonen verder. "Ik kan niet zien welke, maar in sommige gevallen wel. Cisco's worden niet standaard met SNMP ingeschakeld aangeleverd. Als dat aan staat is iemand zo dom geweest om dat aan te zetten. Er zijn talloze ADSL-modems waar dit standaard wel zo wordt uitgeleverd. Het is nu aan de leveranciers om dit op te pakken."

"Bedrijven die willen weten of ze kwetsbaar zijn moeten bij hun IT-afdeling te rade gaan." Middel en kleine bedrijven kunnen het beste de internetprovider vragen, aangezien die dit soort modems leveren." Daarnaast verwijst Moonen mensen naar de factsheet van het NCSC.

Toekomst
Mogelijk dat ITSX de scan over een paar jaar gaat herhalen om te kijken hoe de situatie er dan bij staat. Daarnaast is er ook al gebrainstormd over een nieuwe scan. "Een IPv6 scan zal waarschijnlijk wel wat resultaten opleveren. Heel wat componenten praten inmiddels IPv6 en heel veel providers routeren dit inmiddels, maar de beveiligingscomponenten zijn nog niet geconfigureerd om dit ook daadwerkelijk te beveiligen. Daar moeten we nog onderzoek naar verrichten."

Reacties (13)
02-11-2012, 11:28 door Anoniem
"Een IPv6 scan zal waarschijnlijk wel wat resultaten opleveren".
Veel succes daar mee! Vertel je ook even hoeveel tijd het gekost heeft om alle Nederlandse IPv6 adressen te scannen?
En of dat misschien nog wel abuse meldingen heeft opgeleverd?
Veel routers worden niet zo blij als je dit soort scans gaat doen, dus ik denk dat je er vast wel meer mensen wakker
mee maakt.

(ik ga echt niet zitten loggen wat voor malloten er pakketjes naar poort 161 proberen te sturen, die natuurlijk default
denied staat in de access list voor internet)
02-11-2012, 11:37 door Anoniem
Ik ben diep inder de indruk dat een scan op één poort geen kachten geeft, terwijl je soms meerdere keren per dag een Metasploit probe te verduren krijgt.
Het was wel netjes als de provider aan de bel had getrokken.

Zelf heb ik ooit een MIRROR rule in mijn firewall gehad om hackers zichzelf te laten hacken, maar die heb ik er weer uit gehaald. Dat had iets temaken met mijn provider die verdacht uitgaand verkeer van mijn systeem zag komen en me daarop vrij snel had afgesloten.
02-11-2012, 11:58 door SirDice
Als je over een 10 gigabyte pijp een dergelijke scan doet zonder te randomisen, dan lijkt het aan de ontvanger zijn kant heel erg op een DoS.
Ik neem aan dat'ie een 10 Gigabit pijp bedoelt.
02-11-2012, 12:36 door Bitwiper
Door SirDice:
Als je over een 10 gigabyte pijp een dergelijke scan doet zonder te randomisen, dan lijkt het aan de ontvanger zijn kant heel erg op een DoS.
Ik neem aan dat'ie een 10 Gigabit pijp bedoelt.
Ik neem aan dat 'ie een 10 Gigabit/s pijp bedoelt ;)

Dat het gangbaar is om de tijdeenheid weg te laten wil niet zeggen dat dit correct is, want bij "databundels" blijkt men vaak gegevenshoeveelheden per maand te bedoelen zonder dat dit meteen duidelijk is...
02-11-2012, 12:43 door Anoniem
Ik log alleen wat er binnenkomt (op een aparte logserver), niet wat probeert om binnen te komen maar wat toch niet gelukt is.
02-11-2012, 13:15 door [Account Verwijderd]
[Verwijderd]
02-11-2012, 13:29 door Anoniem
Door Anoniem: Ik log alleen wat er binnenkomt (op een aparte logserver), niet wat probeert om binnen te komen maar wat toch niet gelukt is.

Wil je niet weten of iemand serieus probeert binnen te komen? Vanaf een NL ip adres? Bijvoorbeeld...
02-11-2012, 13:51 door Anoniem
Hack een CA te NL: 0 klachten :)
02-11-2012, 13:53 door Security Scene Team
http://packetstormsecurity.org/files/116126/Simple-SNMP-Bulk-Request-Denial-Of-Service-Tool.html

Check it, before it happens to you.
02-11-2012, 16:08 door Neusbeer
Ik heb tijdje geleden ook een massive scan gedaan van nederlandse IP adressen.
vanuit m'n huis ip (ADSL verbinding. duurde wel ff)
Nooit klachten gehad.
Iets meer dan 5mil ip adressen in 120 uur.
http://www.neusbeer.nl/neusbeer/2012/02/portscanning/ftp-scan-stats/
Hier wordt niet echt op gecontroleerd volgens mij. en mensen moeten het zelf aangeven bij 'abuse' mail adres.
wat praktisch niet gebeurd. Overigens wel met nmap. 5mil in 120 uur is toch best snel met goedkope ADSL.
03-11-2012, 11:30 door [Account Verwijderd]
[Verwijderd]
03-11-2012, 13:28 door Anoniem
VxWorks is niet per definitie een "industrie systeem". 't Draait op veel kleine embedded apparaten zoals VoIP-telefoons, routers en firewalls.
06-11-2012, 08:26 door Neusbeer
Door pe0mot:
Door Neusbeer: Ik heb tijdje geleden ook een massive scan gedaan van Nederlandse IP adressen.
vanuit m'n huis ip
Wat mij in je scan verbaast is dat er 99 VxWorks een open FTP server hebben.
Droevig, want dit zijn industrie systemen!

Of het verstandig is om iedereen te scannen laat ik in het midden, maar van het resultaat zoals door jou gepubliceerd kunnen we wel heel veel leren.


Heb er verder niets 'verkeerds' gedaan. wel een paar mensen geseind dat ze anonieme toegang hadden tot hun NAS.
Wat mij vooral opviel was het verouderde software wat gebruikt werd. Groot gedeelte is met een simpele exploit in te breken.
En vraag me ook af of het strafbaar is om banner grabbing te doen.

Wil binnenkort een server scan gaan doen, poort 80, 8080 enz en kijken hoeveel verouderde software daar gebruikt wordt.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.