Scan 25 miljoen Nederlandse IP-adressen: 1 klacht
Het scannen van 25 miljoen van de 48 miljoen Nederlandse IP-adressen levert slechts één klacht op. Dat zegt Ralph Moonen van het Nederlandse beveiligingsbedrijf ITSX tegenover Security.nl. Het bedrijf haalde gisteren het nieuws dat 13.000 Nederlandse IP-adressen via SNMP te benaderen zijn. Een probleem dat al meer dan tien jaar oud is. Ook Moonen erkent dat het geen nieuws is, maar dat het probleem nog altijd bestaat.
Voor het scannen van de 25 miljoen IP-adressen gebruikte hij het programma Unicornscan. Ondanks het grote aantal scans ontving Moonen slechts één abusemelding. "Ik heb de scans sequentieel gedaan en niet gerandomiseerd. Het had kunnen opvallen." Moonen paste wel zij bandbreedte iets aan. "Ik wilde natuurlijk niet dat het op een Denial of Service-aanval leek. Als je over een 10 gigabyte pijp een dergelijke scan doet zonder te randomisen, dan lijkt het aan de ontvanger zijn kant heel erg op een DoS.
Moonen gebruikte Unicornscan omdat dit een 'stateless scanner' is en veel sneller kan scannen dan bijvoorbeeld Nmap. Ondanks de snelheid van Unicornscan duurde het scannen van de 25 miljoen Nederlandse IP-adressen zo'n drie maanden. Daarbij werd er alleen op SNMP gescand.
Probleem
"Het is inmiddels 2012 en het is nog steeds een probleem. Dan mag je daar best wat aandacht aan besteden. Het probleem is er altijd al geweest, ik wijs er alleen op." Moonen kreeg kritiek of zijn actie wel zo verstandig was. "Ik zeg responsible disclosure. Als je iets vindt moet je dat publiceren, maar wel geanonimiseerd. We hebben dan ook geen enkele naam genoemd."
Moonen merkt op dat fabrikanten soms SNMP standaard inschakelen. "En dat zijn soms apparaten die niet bedoeld zijn om aan het internet te hangen, maar aan een intern netwerk, zoals printers. Die hebben we dan ook niet veel gevonden. Toch vonden we een hoop componenten waarvan je hoopt dat ze goed geconfigureerd zijn."
De verantwoordelijkheid voor het probleem ligt zowel bij leveranciers als systeembeheerders, gaat Moonen verder. "Ik kan niet zien welke, maar in sommige gevallen wel. Cisco's worden niet standaard met SNMP ingeschakeld aangeleverd. Als dat aan staat is iemand zo dom geweest om dat aan te zetten. Er zijn talloze ADSL-modems waar dit standaard wel zo wordt uitgeleverd. Het is nu aan de leveranciers om dit op te pakken."
"Bedrijven die willen weten of ze kwetsbaar zijn moeten bij hun IT-afdeling te rade gaan." Middel en kleine bedrijven kunnen het beste de internetprovider vragen, aangezien die dit soort modems leveren." Daarnaast verwijst Moonen mensen naar de factsheet van het NCSC.
Toekomst
Mogelijk dat ITSX de scan over een paar jaar gaat herhalen om te kijken hoe de situatie er dan bij staat. Daarnaast is er ook al gebrainstormd over een nieuwe scan. "Een IPv6 scan zal waarschijnlijk wel wat resultaten opleveren. Heel wat componenten praten inmiddels IPv6 en heel veel providers routeren dit inmiddels, maar de beveiligingscomponenten zijn nog niet geconfigureerd om dit ook daadwerkelijk te beveiligen. Daar moeten we nog onderzoek naar verrichten."
Veel succes daar mee! Vertel je ook even hoeveel tijd het gekost heeft om alle Nederlandse IPv6 adressen te scannen?
En of dat misschien nog wel abuse meldingen heeft opgeleverd?
Veel routers worden niet zo blij als je dit soort scans gaat doen, dus ik denk dat je er vast wel meer mensen wakker
mee maakt.
(ik ga echt niet zitten loggen wat voor malloten er pakketjes naar poort 161 proberen te sturen, die natuurlijk default
denied staat in de access list voor internet)
Het was wel netjes als de provider aan de bel had getrokken.
Zelf heb ik ooit een MIRROR rule in mijn firewall gehad om hackers zichzelf te laten hacken, maar die heb ik er weer uit gehaald. Dat had iets temaken met mijn provider die verdacht uitgaand verkeer van mijn systeem zag komen en me daarop vrij snel had afgesloten.
Dat het gangbaar is om de tijdeenheid weg te laten wil niet zeggen dat dit correct is, want bij "databundels" blijkt men vaak gegevenshoeveelheden per maand te bedoelen zonder dat dit meteen duidelijk is...
Wil je niet weten of iemand serieus probeert binnen te komen? Vanaf een NL ip adres? Bijvoorbeeld...
Check it, before it happens to you.
vanuit m'n huis ip (ADSL verbinding. duurde wel ff)
Nooit klachten gehad.
Iets meer dan 5mil ip adressen in 120 uur.
http://www.neusbeer.nl/neusbeer/2012/02/portscanning/ftp-scan-stats/
Hier wordt niet echt op gecontroleerd volgens mij. en mensen moeten het zelf aangeven bij 'abuse' mail adres.
wat praktisch niet gebeurd. Overigens wel met nmap. 5mil in 120 uur is toch best snel met goedkope ADSL.
vanuit m'n huis ip
Droevig, want dit zijn industrie systemen!
Of het verstandig is om iedereen te scannen laat ik in het midden, maar van het resultaat zoals door jou gepubliceerd kunnen we wel heel veel leren.
Heb er verder niets 'verkeerds' gedaan. wel een paar mensen geseind dat ze anonieme toegang hadden tot hun NAS.
Wat mij vooral opviel was het verouderde software wat gebruikt werd. Groot gedeelte is met een simpele exploit in te breken.
En vraag me ook af of het strafbaar is om banner grabbing te doen.
Wil binnenkort een server scan gaan doen, poort 80, 8080 enz en kijken hoeveel verouderde software daar gebruikt wordt.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Toezichthouder informatiebeveiliging Overheid
Rijksinspectie Digitale Infrastructuur (RDI)
Vind je het leuk om als toezichthouder bij te dragen aan de verdere groei in informatie-beveiliging van de overheid en in contact te staan met (belangen) organisaties binnen de overheid? Dan kun je komen bouwen aan toezicht op een veilige en betrouwbare Digitale Infrastructuur in Nederland.
Adviseur Informatiebeveiliging
Je bent een belangrijke speler om invulling te geven aan de gemeentelijke ambities op het gebied van informatiebeveiliging. Deze ambities neem jij op in het Informatie-beveiligingsbeleid Gemeente Zoetermeer. Wil je helpen bij het verbeteren van de informatiebeveiliging in Zoetermeer en het versterken van het cyberbewustzijn binnen onze organisatie? Wacht dan niet en kom ons team informatiebeveiliging versterken!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.