Scan 25 miljoen Nederlandse IP-adressen: 1 klacht
Het scannen van 25 miljoen van de 48 miljoen Nederlandse IP-adressen levert slechts één klacht op. Dat zegt Ralph Moonen van het Nederlandse beveiligingsbedrijf ITSX tegenover Security.nl. Het bedrijf haalde gisteren het nieuws dat 13.000 Nederlandse IP-adressen via SNMP te benaderen zijn. Een probleem dat al meer dan tien jaar oud is. Ook Moonen erkent dat het geen nieuws is, maar dat het probleem nog altijd bestaat.
Voor het scannen van de 25 miljoen IP-adressen gebruikte hij het programma Unicornscan. Ondanks het grote aantal scans ontving Moonen slechts één abusemelding. "Ik heb de scans sequentieel gedaan en niet gerandomiseerd. Het had kunnen opvallen." Moonen paste wel zij bandbreedte iets aan. "Ik wilde natuurlijk niet dat het op een Denial of Service-aanval leek. Als je over een 10 gigabyte pijp een dergelijke scan doet zonder te randomisen, dan lijkt het aan de ontvanger zijn kant heel erg op een DoS.
Moonen gebruikte Unicornscan omdat dit een 'stateless scanner' is en veel sneller kan scannen dan bijvoorbeeld Nmap. Ondanks de snelheid van Unicornscan duurde het scannen van de 25 miljoen Nederlandse IP-adressen zo'n drie maanden. Daarbij werd er alleen op SNMP gescand.
Probleem
"Het is inmiddels 2012 en het is nog steeds een probleem. Dan mag je daar best wat aandacht aan besteden. Het probleem is er altijd al geweest, ik wijs er alleen op." Moonen kreeg kritiek of zijn actie wel zo verstandig was. "Ik zeg responsible disclosure. Als je iets vindt moet je dat publiceren, maar wel geanonimiseerd. We hebben dan ook geen enkele naam genoemd."
Moonen merkt op dat fabrikanten soms SNMP standaard inschakelen. "En dat zijn soms apparaten die niet bedoeld zijn om aan het internet te hangen, maar aan een intern netwerk, zoals printers. Die hebben we dan ook niet veel gevonden. Toch vonden we een hoop componenten waarvan je hoopt dat ze goed geconfigureerd zijn."
De verantwoordelijkheid voor het probleem ligt zowel bij leveranciers als systeembeheerders, gaat Moonen verder. "Ik kan niet zien welke, maar in sommige gevallen wel. Cisco's worden niet standaard met SNMP ingeschakeld aangeleverd. Als dat aan staat is iemand zo dom geweest om dat aan te zetten. Er zijn talloze ADSL-modems waar dit standaard wel zo wordt uitgeleverd. Het is nu aan de leveranciers om dit op te pakken."
"Bedrijven die willen weten of ze kwetsbaar zijn moeten bij hun IT-afdeling te rade gaan." Middel en kleine bedrijven kunnen het beste de internetprovider vragen, aangezien die dit soort modems leveren." Daarnaast verwijst Moonen mensen naar de factsheet van het NCSC.
Toekomst
Mogelijk dat ITSX de scan over een paar jaar gaat herhalen om te kijken hoe de situatie er dan bij staat. Daarnaast is er ook al gebrainstormd over een nieuwe scan. "Een IPv6 scan zal waarschijnlijk wel wat resultaten opleveren. Heel wat componenten praten inmiddels IPv6 en heel veel providers routeren dit inmiddels, maar de beveiligingscomponenten zijn nog niet geconfigureerd om dit ook daadwerkelijk te beveiligen. Daar moeten we nog onderzoek naar verrichten."
Veel succes daar mee! Vertel je ook even hoeveel tijd het gekost heeft om alle Nederlandse IPv6 adressen te scannen?
En of dat misschien nog wel abuse meldingen heeft opgeleverd?
Veel routers worden niet zo blij als je dit soort scans gaat doen, dus ik denk dat je er vast wel meer mensen wakker
mee maakt.
(ik ga echt niet zitten loggen wat voor malloten er pakketjes naar poort 161 proberen te sturen, die natuurlijk default
denied staat in de access list voor internet)
Het was wel netjes als de provider aan de bel had getrokken.
Zelf heb ik ooit een MIRROR rule in mijn firewall gehad om hackers zichzelf te laten hacken, maar die heb ik er weer uit gehaald. Dat had iets temaken met mijn provider die verdacht uitgaand verkeer van mijn systeem zag komen en me daarop vrij snel had afgesloten.
Dat het gangbaar is om de tijdeenheid weg te laten wil niet zeggen dat dit correct is, want bij "databundels" blijkt men vaak gegevenshoeveelheden per maand te bedoelen zonder dat dit meteen duidelijk is...
Wil je niet weten of iemand serieus probeert binnen te komen? Vanaf een NL ip adres? Bijvoorbeeld...
Check it, before it happens to you.
vanuit m'n huis ip (ADSL verbinding. duurde wel ff)
Nooit klachten gehad.
Iets meer dan 5mil ip adressen in 120 uur.
http://www.neusbeer.nl/neusbeer/2012/02/portscanning/ftp-scan-stats/
Hier wordt niet echt op gecontroleerd volgens mij. en mensen moeten het zelf aangeven bij 'abuse' mail adres.
wat praktisch niet gebeurd. Overigens wel met nmap. 5mil in 120 uur is toch best snel met goedkope ADSL.
vanuit m'n huis ip
Droevig, want dit zijn industrie systemen!
Of het verstandig is om iedereen te scannen laat ik in het midden, maar van het resultaat zoals door jou gepubliceerd kunnen we wel heel veel leren.
Heb er verder niets 'verkeerds' gedaan. wel een paar mensen geseind dat ze anonieme toegang hadden tot hun NAS.
Wat mij vooral opviel was het verouderde software wat gebruikt werd. Groot gedeelte is met een simpele exploit in te breken.
En vraag me ook af of het strafbaar is om banner grabbing te doen.
Wil binnenkort een server scan gaan doen, poort 80, 8080 enz en kijken hoeveel verouderde software daar gebruikt wordt.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
