image

6.000 servers in Nederland nog kwetsbaar voor NSA-exploit

donderdag 6 juli 2017, 16:02 door Redactie, 9 reacties

Ruim 6.000 servers in Nederland zijn nog altijd kwetsbaar voor de NSA-exploit waar de WannaCry-ransomware zich door verspreidde en ook de Petya-ransomware misbruik van maakte, zo meldt de Nederlandse beveiligingsonderzoeker Victor Gevers op Twitter.

Gevers scande met het programma Nmap ruim 15.000 hosts in Nederland en stuurde meer dan 11.000 e-mails om de eigenaren en providers achter de systemen te waarschuwen. De inzet van de onderzoeker resulteerde erin dat bijna 9300 servers niet meer kwetsbaar zijn. Zo'n 6400 machines hebben de beveiligingsupdate MS17-010, die Microsoft in maart van dit jaar uitbracht en meerdere kwetsbaarheden in de SMB-dienst van Windows verhelpt, nog altijd niet geïnstalleerd.

Een maand na het uitkomen van de patch publiceerde een groep genaamd Shadow Brokers verschillende NSA-exploits op internet die van de kwetsbaarheden misbruik maken. Het gaat onder andere om een exploit genaamd EternalBlue waarmee het mogelijk is om op afstand een kwetsbaar systeem over te nemen. Zowel WannaCry als Petya maakten gebruik van EternalBlue om systemen te infecteren. Op Twitter laat Gevers weten dat hij graag het gehele ipv4-internet zou willen scannen om EternalBlue zo 'nutteloos als mogelijk' te maken. Wereldwijd zijn nog zo'n 950.000 systemen kwetsbaar.

De onderzoeker is ook zeer te spreken over de medewerking van Nederlandse internetproviders. "Wat een verschil met Nederland en andere landen. Niet zeuren maar poetsen. Nog nooit zo'n medewerking mee gemaakt. NL ISPs helpen goed mee." Gevers is voorzitter van de GDI.Foundation, een Nederlandse stichting van beveiligingsexperts zonder winstoogmerk. Eerder kwamen Gevers en de GDI.Foundation al in het nieuws wegens onderzoek naar onbeveiligde databases die door cybercriminelen voor losgeld werden gegijzeld.

Image

Reacties (9)
06-07-2017, 18:00 door Anoniem
Is het niet strafbaar om dit te onderzoeken? Stel je eens voor dat een man alle deuren en ramen langs gaat om te 'controleren' of je wel veilig bent. Of stel je voor dat iemand je auto portier open trekt om te kijken of het wel op slot is.
06-07-2017, 20:38 door Anoniem
Helaas niet @anonymous 6 juli 18.00, ik mag bij jou naar binnen kijken. Echter, mag ik niet binnen zonder toestemming dan ben ik wel strafbaar.
06-07-2017, 22:49 door Anoniem
@geachte anoniem van 20:38 6-7-2017

Ben ik het toch niet helemaal onvoorwaardelijk mee eens, als het op expliciet verzoek gebeurt ,mag men deze test info delen met het slachtoffer of administraties.

Kijk komt iemand met het verzoek, ik heb problemen met een bepaalde blokkering, kunt u als deskundige met relevante kennis eens kijken waar het aan zou kunnen liggen, dan heb je een heel andere insteek. Een online third party IP nmap scanner voegt niet voor niets deze disclaimer toe:

"THE INFORMATION ON THIS PAGE IS STRICTLY FOR INFORMATIONAL PURPOSES ONLY. IT SHALL NEVER BE USED AGAINST ANY OF THE HOSTS WITHOUT PRIOR WRITTEN AND EXPLICIT PERMISSION FROM THE RESPECTIVE OWNERS. IT IS YOUR RESPONSIBILITY TO OBEY ALL APPLICABLE LOCAL, STATE AND FEDERAL LAWS. WE ASSUME NO LIABILITY AND ARE NOT RESPONSIBLE FOR ANY MISUSE OR DAMAGE CAUSED BY THE USE OF THE INFORMATION ON THIS PAGE.".

Ik weet niet hoe het hier volgens de Nederlandse wetgeving ligt en of de gegevens voldoende werden geanonimiseerd. Ook vrijwillig website security analysten hebben een ere-code, waar men zich aan dient te houden.

shodan verleent immers een gelijkaardige dienst en zelf met google kun je aan soortgelijke gevoelige resultaten komen.

Maar een onderzoeker moet altijd streven naar ethisch werken. Ik mag ook geen lijsten met excessieve naamserver info proliferatie gaan publiceren, je stelt dan wel iemand bloot aan niet denkbeeldig gevaar, kwetsbare BIND versie bij voorbeeld, de script kiddie en in ons geval de drie-letter-dienst zit al met opgestoken oortjes klaar ;)

Maar algemeen gesproken is het toch wel schandalig dat men dit soort resultaten moet vrijgeven, wie hardleers niet update, patcht en mitigeert is waard dat ie gehackt wordt, dat is de snelste manier om een ander veiligheidsbeleid aan te leren.

lauferek
06-07-2017, 22:52 door Anoniem
Door Anoniem: Helaas niet @anonymous 6 juli 18.00, ik mag bij jou naar binnen kijken. Echter, mag ik niet binnen zonder toestemming dan ben ik wel strafbaar.
Strafbaar staat niet gelijk aan straf krijgen. Bij ethisch onderzoek om misstanden op te lossen ook een belang van groter nut. Er zijn inmiddels uitspraken van rechters die dat duidelijk maken.
06-07-2017, 22:57 door Anoniem
Zijn dit die 15000 servers waarvan D66-Kamerlid Kees Verhoeven en Ron de Mos van CGI en lid van de Cyber Security Raad vinden dat met belastinggeld gewaarschuwd moet worden voor uitbraken als wanacry? Servers van mensen die alle waarschuwingen negeren tot iemand de moeite neemt om persoonlijk contact op te nemen. Of zelfs dan nog geen moeite doen. Gaan die gewaarschuwde mensen nu hun leven beteren of wachten ze op de volgende persoonlijke waarschuwing? Er bestaan al een paar miljoen kwetsbaarheden. Een voor een waarschuwen en hun gang laten gaan is niet effectief.

Niet het waarschuwen is het probleem. Het probleem is dat een deel van Nederland (en de wereld) geen zin heeft om hun servers en software veilig te houden. Een vervolgprobleem is dat dit vaak vol te houden is omdat de omgeving die er last van heeft het toch niet belangrijk genoeg vind om zelf eisen te stellen aan overeenkomsten, schades niet verhalen, veroorzakers blijven belonen door er klant te blijven, er geen vervolging mogelijk is. Er is nauwelijks risico om beveiliging te negeren als de omgeving er alleen maar over klaagt.
07-07-2017, 08:12 door Anoniem
Door Anoniem: Helaas niet @anonymous 6 juli 18.00, ik mag bij jou naar binnen kijken. Echter, mag ik niet binnen zonder toestemming dan ben ik wel strafbaar.

Een verbinding maken is niet vergelijkbaar met naar binnen kijken. Het is aanraken. Je mag niet zomaar aan deuren en ramen zitten. Die zijn niet van jou, ook al kun je ze wel benaderen vanaf de weg en ze zijn er niet voor publiek gebruik.

Je kan discussieren of shares er zijn voor publiek gebruik. Het hangt verder van de testmethode af of je de grens overschrijdt. Als het over een "banner" gaat (in het algemeen: tijdens handshake teruggestuurde data), dan is het waarschijnlijk ok, maar als je doelgericht gaat testen of een exploit mogelijk is door die te gebruiken (ook zonder payload), dan waarschijnlijk niet.
07-07-2017, 08:22 door Anoniem
Door Anoniem: Is het niet strafbaar om dit te onderzoeken? Stel je eens voor dat een man alle deuren en ramen langs gaat om te 'controleren' of je wel veilig bent. Of stel je voor dat iemand je auto portier open trekt om te kijken of het wel op slot is.
Binnen IT moet je niet nadenken over wat wel of niet strafbaar is. Een kwaadaardige hacker heeft immers geen enkele boodschap aan wet- en regelgeving.
07-07-2017, 23:45 door [Account Verwijderd]
[Verwijderd]
10-07-2017, 21:40 door karma4
Door Neb Poorten:
Door Anoniem: Ook vrijwillig website security analysten hebben een ere-code, waar men zich aan dient te houden.

Talk is cheap... Ik wacht nog steeds op antwoord: https://www.security.nl/posting/522558#posting522692
Jammer Neb je zit zoals gewoonlijk er weer naast. Anoniem doe ik niet aan. Heb je die normen iso 27k etc eigenlijk ooit wel eens gezien en zelf doorgenomen. Het lijkt er niet op en je bent er alleen maar negatief over. Geloof je echt dat al die mensen bij het ncsc nist rommelaars zijn en dat jij het allemaal veel beter weet. Dat zou nogal vreemd zijn toch...
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.