Het scannen van 25 miljoen van de 48 miljoen Nederlandse IP-adressen levert slechts één klacht op. Dat zegt Ralph Moonen van het Nederlandse beveiligingsbedrijf ITSX tegenover Security.nl. Het bedrijf haalde gisteren het nieuws dat 13.000 Nederlandse IP-adressen via SNMP te benaderen zijn. Een probleem dat al meer dan tien jaar oud is. Ook Moonen erkent dat het geen nieuws is, maar dat het probleem nog altijd bestaat.
Voor het scannen van de 25 miljoen IP-adressen gebruikte hij het programma Unicornscan. Ondanks het grote aantal scans ontving Moonen slechts één abusemelding. "Ik heb de scans sequentieel gedaan en niet gerandomiseerd. Het had kunnen opvallen." Moonen paste wel zij bandbreedte iets aan. "Ik wilde natuurlijk niet dat het op een Denial of Service-aanval leek. Als je over een 10 gigabyte pijp een dergelijke scan doet zonder te randomisen, dan lijkt het aan de ontvanger zijn kant heel erg op een DoS.
Moonen gebruikte Unicornscan omdat dit een 'stateless scanner' is en veel sneller kan scannen dan bijvoorbeeld Nmap. Ondanks de snelheid van Unicornscan duurde het scannen van de 25 miljoen Nederlandse IP-adressen zo'n drie maanden. Daarbij werd er alleen op SNMP gescand.
Probleem
"Het is inmiddels 2012 en het is nog steeds een probleem. Dan mag je daar best wat aandacht aan besteden. Het probleem is er altijd al geweest, ik wijs er alleen op." Moonen kreeg kritiek of zijn actie wel zo verstandig was. "Ik zeg responsible disclosure. Als je iets vindt moet je dat publiceren, maar wel geanonimiseerd. We hebben dan ook geen enkele naam genoemd."
Moonen merkt op dat fabrikanten soms SNMP standaard inschakelen. "En dat zijn soms apparaten die niet bedoeld zijn om aan het internet te hangen, maar aan een intern netwerk, zoals printers. Die hebben we dan ook niet veel gevonden. Toch vonden we een hoop componenten waarvan je hoopt dat ze goed geconfigureerd zijn."
De verantwoordelijkheid voor het probleem ligt zowel bij leveranciers als systeembeheerders, gaat Moonen verder. "Ik kan niet zien welke, maar in sommige gevallen wel. Cisco's worden niet standaard met SNMP ingeschakeld aangeleverd. Als dat aan staat is iemand zo dom geweest om dat aan te zetten. Er zijn talloze ADSL-modems waar dit standaard wel zo wordt uitgeleverd. Het is nu aan de leveranciers om dit op te pakken."
"Bedrijven die willen weten of ze kwetsbaar zijn moeten bij hun IT-afdeling te rade gaan." Middel en kleine bedrijven kunnen het beste de internetprovider vragen, aangezien die dit soort modems leveren." Daarnaast verwijst Moonen mensen naar de factsheet van het NCSC.
Toekomst
Mogelijk dat ITSX de scan over een paar jaar gaat herhalen om te kijken hoe de situatie er dan bij staat. Daarnaast is er ook al gebrainstormd over een nieuwe scan. "Een IPv6 scan zal waarschijnlijk wel wat resultaten opleveren. Heel wat componenten praten inmiddels IPv6 en heel veel providers routeren dit inmiddels, maar de beveiligingscomponenten zijn nog niet geconfigureerd om dit ook daadwerkelijk te beveiligen. Daar moeten we nog onderzoek naar verrichten."
Deze posting is gelocked. Reageren is niet meer mogelijk.