Thaise telecomprovider lekt database met miljarden dns-verzoeken van klanten
De Thaise telecomprovider Advanced Wireless Network (AWN) heeft via een onbeveiligde database miljarden dns-verzoeken van klanten gelekt, waardoor een uitgebreid beeld van het online gedrag van klanten is af te leiden. Dat meldt beveiligingsonderzoeker Justin Paine, die in het verleden vaker datalekken bij bedrijven ontdekte.
Paine ontdekte de onbeveiligde ElasticSearch-database op 7 mei van dit jaar. Elasticsearch is zoekmachinesoftware voor het indexeren van allerlei soorten informatie. Het wordt onder andere ingezet voor het doorzoeken van websites, documenten en applicaties, maar is ook te gebruiken voor analytics, monitoring en data-analyse. De 4,7 terabyte grote database was voor iedereen op internet zonder wachtwoord toegankelijk en bevatte meer dan 8,3 miljard documenten.
Het ging om een combinatie van NetFlow-data en dns-verzoeken. NetFlow-data is een door Cisco ontwikkelde technologie voor het monitoren en onderzoeken van netwerkverkeer. Daarnaast bevatte de database meer dan 3,3 miljard "dns query logs". Via dns-verzoeken wordt het ip-adres van een website opgevraagd. Aan de hand van dns-verkeer is dan ook te zien welke websites mensen bezoeken en welke apps ze gebruiken. Op deze manier kan er een gedetailleerd profiel van iemands online leven worden verkregen.
Om dit te bewijzen analyseerde Paine de dns-data van één enkel ip-adres. Alleen aan de hand van de dns-gegevens kon hij vaststellen dat dit huishouden over een Androidtoestel, Windowscomputer, Apple-apparaat en Samsung-apparaat beschikte, Google Chrome als standaardbrowser gebruikte en met Microsoft Office werkte. Verder gebruikte dit huishouden ESET als antivirussoftware en was het actief op Facebook, Google, YouTube, TikTok en WeChat.
Na ontdekking van de database besloot Paine om Advanced Info Service (AIS) te waarschuwen, de grootste telecomprovider van Thailand en moederbedrijf van AWN. Aangezien dit niets opleverde informeerde de onderzoeker het Thaise Computer Emergency Response Team (ThaiCERT) dat AIS wel wist te bereiken waarna de database op 22 mei werd beveiligd.
Paine geeft aan dat hij niet wil speculeren waarom AWN de dns-verzoeken van klanten verzamelde. Wel merkt hij op dat het gebruik van DNS over HTTPS (DoH) het verzamelen van dns-verzoeken zoals in dit geval had voorkomen. DoH zorgt er namelijk voor dat dns-verzoeken worden versleuteld, zodat internetproviders de inhoud niet meer kunnen bekijken.
"DoH" had deze mogelijkheid helemaal niet voorkomen, maar slechts verplaatst naar een andere plek, waar veel meer verzoeken binnenkomen en dus veel uitgebreider gedrag te bestuderen zou zijn. Oftewel een veel grotere verleiding. Dus dit is gewoon een stukje domme propaganda, en als deze "onderzoeker" dat niet snapt is hij iemand zijn "bruikbare idioot". Hij had echt beter moeten weten dan zulke domme dingen zeggen.
Maargoed, dit soort dingen zijn ook gewoon erg moeilijk voor technische knutselaars want de problemen zijn niet technisch van aard. Precies waarom "DoH" al vanaf het begin gemankeerd is als mogelijke oplossing.
Merk op dat er maar heel weinig "DoH"-providers zijn dus als er eentje rot blijkt is de schade ook veel groter, betaal je niet zelf voor hun diensten, en zitten ze waarschijnlijk in een ander land dan waar jij zit dus heb je het middel van de rechtsgang ook al niet.
Die discussie hadden we al eerder hier https://www.security.nl/posting/556731/
Doe de test eens hier: https://www.grc.com/dns/dns.htm
Ik zit met DNSSEC wel aardig goed qua spoofability. Eindresultaat excellent.
Je DNS verzoeken moet je provider opslaan voor als deze gegevens eventueel opgevraagd worden.
Sommige providers delen deze gegevens met derden of verkopen de gegevens ook nog door.
Jouw data is namelijk het nieuwe goud, zeker als men het gratis kan weg-siphoneren (jij bent hun product).
#sockpuppet
Die discussie hadden we al eerder hier https://www.security.nl/posting/556731/
Doe de test eens hier: https://www.grc.com/dns/dns.htm
Ik zit met DNSSEC wel aardig goed qua spoofability. Eindresultaat excellent.
Je DNS verzoeken moet je provider opslaan voor als deze gegevens eventueel opgevraagd worden.
Sommige providers delen deze gegevens met derden of verkopen de gegevens ook nog door.
Jouw data is namelijk het nieuwe goud, zeker als men het gratis kan weg-siphoneren (jij bent hun product).
#sockpuppet
Ik blijf eigenlijk liever bij Gibson weg maar alla (normaal gebruik ik https://dnsleaktest.com/.
Excellent na 1175 queries en dat over mijn VPN ... ;-)
Of je gebruikt een VPN (ik voel een discussie aankomen)
Je legt een virtuele pijp van jouw computertje (of je routertje) naar die VPN-provider. Daar stuur je al je verkeer overheen en "de andere kant" stuurt dat dan weer door zodat jouw verkeer vanaf hun netwerk lijkt te komen.
Dat vond de ISP niet zo leuk want ze kunnen dan niet meer hun verkeersvolume drukken door wat transparent caching proxies neer te kwakken. Vond want dat kon toch al minder goed tot nauwlijks meer want alles en iedereen is aan de "meer https is meer beter", wat maar beperkt waar is, maar toch. Ook die beweging is een directe tegenreactie (van webshits) op zich misdragende ISPs (veelal Amerikaanse telcos, die de "we don't care. we don't have to. we're the phone company!"-satire met graagte in de praktijk brengen), en ook daar is de correcte oplossing van ISP wisselen, en niet gaan rommelen met technische truuks. Maar dit terzijde.
Het gevolg is dat al je verkeer inclusief DNS-aanvragen eerst naar je VPN-aanbieder gaan, dus die krijgt juist weer meer inzicht in jouw verkeersstromen. Dus alweer, je hebt alleen maar het probleem verplaatst en verergerd bovendien. De vraag is hetzelfde: Kan je die provider wel met al die data vertrouwen? En dan, hoeveel betaal je ze om de data niet te misbruiken of door te verkopen? In welk land zitten ze? En zo voort, en zo verder.
Oh, en nu ik toch zit te oreren: "VPN" staat voor "virtual private network", origineel een versleutelde pijp van een enkel machientje naar een bedrijfsnetwerk of een versleutelde pijp tussen twee bedrijfsnetwerkjes ofzo. Een versleutelde pijp waarna "de andere kant" al je verkeer op het open internet kwakt is dus eigenlijk iets anders en zou dus ook gewoon anders moeten heten.
Je DNS verzoeken moet je provider opslaan voor als deze gegevens eventueel opgevraagd worden.
Nee hoor, dat moeten ze niet.
Jouw data is namelijk het nieuwe goud, zeker als men het gratis kan weg-siphoneren (jij bent hun product).
Dat kan wel zo zijn, al mag het niet.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Specialiseer je in Forensisch ICT
Online informatieavond 19 november
Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:
- Bachelor Informatica Forensisch ICT (deeltijd)
- Master Digital Forensics (vol- en deeltijd)
- Module Mobile Forensics
- Module Data Analytics
Interesse? Meld je aan!
Information Security Officer (2fte)
Een uitdagende rol waarbij jij, op basis van security, de vertaalslag maakt tussen business en IT en direct bijdraagt aan de veiligheid van informatie binnen de gemeente Almere. Dat is in een notendop waar jij als Information Security Officer mee bezig bent. Interesse gewekt? Door groei van de organisatie zijn we op zoek naar twee nieuwe collega’s.
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
