image

Veel Nederlandse netwerken beschermd tegen ip-spoofing

vrijdag 16 maart 2018, 13:39 door Redactie, 15 reacties

Veel Nederlandse netwerken zijn beschermd tegen ip-spoofing, zo blijkt uit onderzoek van de TU Delft. De onderzoekers keken of autonome systemen (ASes) in Nederland van BCP38 gebruikmaken. Met een AS wordt een deelnetwerk van het internet aangeduid dat over een eigen routeringsagenda beschikt.

BCP38 is een netwerkstandaard die spoofing van ip-adressen moet voorkomen. "Ip-spoofing is al meer dan 25 jaar een bekend probleem, maar nog steeds zijn er netwerkbeheerders die vanwege een gebrek aan economische prikkels geen anti-spoofingfilters implementeren", zegt onderzoeker Luigi Tuttobene tegenover Security.NL. Tuttobene merkt op dat het nemen van anti-spoofingmaatregelen een "goede buur" beleid is.

De onderzoekers wilden dan ook kijken welke netwerken in Nederland BCP38-compliant zijn. Van de 108 geteste autonome systemen bleken er slechts zeven geen anti-spoofingfilter te gebruiken, wat zes procent is. Deze zeven partijen werden door de onderzoekers benaderd en twee lieten er weten dat ze het probleem zullen oplossen. De andere partijen gaven geen reactie. Door de resultaten bekend te maken, alsmede de tool waarmee netwerken zijn te testen, hopen de onderzoekers meer bewustzijn te kweken en de nog resterende netwerkbeheerders over te halen.

Reacties (15)
16-03-2018, 14:47 door Anoniem
Is interessant om een kwetsbaar Autonoom Systeem te testen, o.a. tegen phishing:

as43090 Disposition: suspicious

Brand: Unknown

Scan Time: Mar 16, 2018, 2:21:57 PM

Voor Tolder dot net (maxided.com) Curacao is het jammer,
dat we niet langer kunnen beschikken over de SiteVet abuse statistieken.

Per IP zien we dit bij voorbeeld: https://www.abuseipdb.com/check/185.169.230.252
via Dominicaanse Republiek: https://checkphish.ai/ip/185.169.230.252

Zie ook: https://toolbar.netcraft.com/site_report?url=toldernet.com

Genoeg mis mee, zie: https://observatory.mozilla.org/analyze/maxided.com
(F-status en aanbevelingen).

Eveneens hier: https://privacyscore.org/site/93537/
OP dit AS is er nog een hele security inhaalslag te behalen.

Waarvan akte,

groetjes,

luntrus
16-03-2018, 14:52 door Anoniem
Om de credits ook hier compleet te maken, laten we ook CAIDA [Center for Applied Internet Data Analysis ] noemen die het anti-spoofing meetproject al langer trekt .

https://www.caida.org/projects/spoofer/

Het is een goede zaak dat de TU onderzoekers hier ook aan (mee)werken . (De infospoofing site zelf vermeldt CAIDA wel, op https://www.infospoofing.com/about en in de intro )
16-03-2018, 17:46 door Anoniem
Kan directe toegang tot de AMSIX (overheid, sleepnet, packet insertion) IP packets spoofen? Bijv. UDP of TCP RST?

Dit wordt toch niet beschermd door BGP rulesets up/down want deze rulesets zijn alleen om te voorkomen dat een (rogue) provider een verkeerd of niet-bestaand subnet adverteert?
16-03-2018, 18:58 door Anoniem
Door Anoniem: Kan directe toegang tot de AMSIX (overheid, sleepnet, packet insertion) IP packets spoofen? Bijv. UDP of TCP RST?

Met directe toegang tot 'een' kabel kun je alle verkeer wat valide (kan) zijn over die kabel spoofen .
Als je direct op jouw uplink kabel zit, kun je, richting jou , het hele internet spoofen .

Op de ams-ix loopt verkeer tussen de aangesloten peers die ook besloten hebben met elkaar te peeren daar .

Daar zit veel verkeer, maar je moet niet de misvatting hebben dat _al_ het nederlandse internet verkeer altijd en per definitie onderweg de ams-ix tegenkomt.


Dit wordt toch niet beschermd door BGP rulesets up/down want deze rulesets zijn alleen om te voorkomen dat een (rogue) provider een verkeerd of niet-bestaand subnet adverteert?

BGP filters hebben maar een zeer indirecte relatie met gespoofed IP verkeer.
16-03-2018, 20:34 door Anoniem
Leuk om even met dit programma te stoeien, let er wel op dat het een service installeert die om de zoveel tijd de test laat doen, maar ze zorgen er voor dat dit niet te vaak gebeurt, dus je hebt er niet veel last van. Zo kunnen ze zien of er veranderingen dan wel ten goede of kwade door de tijd heen plaats vinden. Het wordt gesponsord door DHS dus dan is het goed (hahaha).
16-03-2018, 21:19 door Anoniem
Dus als leek: is het dus mogelijk dat de geheime diensten een false flag cyberaanval in elkaar draaien binnen Nederland of afkomstig uit Nederland? Ja / Nee en hoe zou dat dan in zijn werk gaan en wat kan er tegen gedaan worden? Bijvoorbeeld voor bewijsvoering van de KLPD en Cybercrime politieorganisaties?

Met false flag bedoel ik een operatie die politiek gestuurd is en niet gebaseerd op een feitelijk evenement waardoor de schuld bij een al of niet bestaande externe partij komt te liggen, voor politiek gewin (macht) of financieel gewin (cybercrime lobbies en belastinggeld naar de feitelijke daders).

Zo'n aanval kan schade in de fysieke wereld veroorzaken (denk aan 9-11) en een basis vormen voor een internationale oorlog of inperking van vrijheid van burgers zowel online als offline. Maakt niemand zich daar druk over?
16-03-2018, 22:31 door Briolet
Door Anoniem: Leuk om even met dit programma te stoeien, let er wel op dat het een service installeert die om de zoveel tijd de test laat doen…

Het was wel netjes geweest als dit gevraagd was en er een optie geboden werd om dit weer te de-installeren. Nu wordt er op de mac een launch deamon geplaatst die er voor zorgt dat de scheduler bij elke opstart weer geactiveerd wordt. In het menu van die app vind ik echter geen optie om dit automatisch opstarten weer uit te zetten.
In de app zit wel een un-installer script die dat doet, maar wie kijkt nu in de app zelf?

De scan frequentie is inderdaad spaarzaam. Ik zie dat hij het pas over 7 dagen weer probeert.
16-03-2018, 22:53 door Anoniem
@ anoniem van 21:19

Er is nog een andere kant aan deze zaak.

Spoofing geholpen door een combinatie van AI deep video manipulatie technieken (FakeApp) kan een "valse vlag" heel geloofwaardig doen overkomen, zonder sporen van manipulatie. Als er maar een blijvende indruk bij het grote publiek achterblijft, kan men de massa vaak heel subtiel van alles verkopen.

De enige manier om dergelijke manipulatie tegen te gaan is dit te 'counteren' met een decentraal "off the grid" netwerk, denk daarbij aan een dienst als Firechat bij voorbeeld, waar de totale surveillance instantie(s) niet onvoorwaardelijk toegang krijgt via Fake Hotspots.

We moeten openstaan voor alle mogelijkheden om het te kunnen inzien, hoe gemakkelijk we tegenwoordig op het verkeerde spoor kunnen worden gezet, bij voorbeeld wat betreft de oorsprong van een cyber false flag actie.

Het is niet meer zo dat in diskrediet gebrachte politieke figuren verdwenen via het retoucheren van foto's (denk aan de tijd van Stalin), we hebben een nu wat verder voortgeschreden technologie.
17-03-2018, 11:22 door Anoniem
security.nl is te spoofen als Security.nl omdat het domein geen dmarc record bezit. Foutje bedankt.luntrus
17-03-2018, 14:06 door Anoniem
Door Anoniem: @ anoniem van 21:19
Het is niet meer zo dat in diskrediet gebrachte politieke figuren verdwenen via het retoucheren van foto's (denk aan de tijd van Stalin), we hebben een nu wat verder voortgeschreden technologie.
Ja , het heet photoshop : (3e van links op de D66 foto )
https://www.geenstijl.nl/5140465/disinformation66-fakenieuwst-kandidaat-van-foto/
17-03-2018, 17:59 door Anoniem
Door Anoniem: Maakt niemand zich daar druk over?
Je noemt jezelf leek en nog voor je een onderwerp snapt begin je al in doemscenario's te denken bij het onderwerp. Er bestaat geen wereld waarin jou false flags niet kunnen bestaan en dus kan je overal bang voor zijn. Als je dat ook nog gaat toepassen op alles wat jij net ontdekt (maar al jaren bestaat) dan is angst oneindig.

Foute ip-adressen op je (inter)netverkeer kunnen toevoegen kan al sinds het bestaan van ip routering. Dat is ouder dan 25 jaar. Het probleem is vergelijkbaar met het kunnen versturen van een brief met een verkeerde afzender als retouradres. Het is niet perse fout, als de ontvanger maar snapt dat een afzender niet 100% te vertrouwen is en waarom hij tevreden is met het vertrouwen in de boodschap die overblijft.

Communiceren via een netwerk gaat met meer protocollen dan alleen die van het ip-verkeer en die andere protocollen kunnen ook gebruikt worden om fout netwerkverkeer te stoppen. Als je met spoofing van ip-verkeer een bericht op een website wil plaatsen of een mail wil versturen dan kan dat bijna nooit. Andere protocollen controleren dan of de afzender klopt. Daarom is ip spoofing effectiever voor een dos aanval in combinatie met gebreken in andere protocollen. De ontvanger van het verkeer maakt het niet uit wie de afzender is een stuurt zijn massale antwoord door naar de verkeerde afzender.
17-03-2018, 18:32 door Anoniem
De conclusies in welke landen de netwerken ip-spoofing hebben zijn niet accuraat. Zo beweren de onderzoekers bijvoorbeeld dat netwerken die alleen in Beirut of Curacao actief zijn en zelfs geen peers in Nederland hebben dat die bij Nederland horen. Of dat een netwerk dat actief is in meerdere landen en bijna niet in Italie dan tot Italie zou behoren. De onderzoekers van de TU Delft lijken klakkeloos een lijstje met verwijzingen over te hebben genomen zonder te controleren of de verwijzingen kloppen. Onbegrijpelijk dat je als onderzoekers zulke slechte kwaliteit conclusies als onderzoek durft te presenteren om betweterig met een vingertje naar de wereld te wijzen dat ze wat fout doen.
18-03-2018, 00:18 door Anoniem
Netwerken die gespoofed ip-verkeer faciliteren kunnen niet bestaan zonder netwerken die het verkeer van hun klanten het internet op helpen. Dat zijn in Nederland deze bedrijven die er heel erg veel geld aan verdienen om dDoS mogelijk te maken. Dat is een strafbaar feit. Toeval of niet, maar een paar van de eigenaren zijn vriendjes met meerdere ip-spoofing netwerken. Je zou het bijna georganiseerde criminaliteit kunnen noemen zoals ze met elkaar geld verdienen. Als het Openbaar Ministerie deze bedrijven eens zou aanpakken dan zou er heel veel geld de schatkist in kunnen om nederland veiliger te maken.

Cogent Communications
Serverius B.V.
Xconnect24
Hibernia Networks bv
Verizon Business
Broadband Hosting BV
Level 3
M247 Ltd
Psychz Networks
La Curacao
Nav Communications SRL
REBA Communications BV
Leaseweb
NForce entertainment bv
Moscanet SAL
Sodetal SAL
Libanon Teleco
18-03-2018, 16:13 door Anoniem
Net als anoniem van 18:32 trecht beweert liggen de zaken in werkelijkheid een beetje gecompliceerder dan gepresenteerd in de onderzoeksresultaten.

Het beste kun je dat verduidelijken aan de hand van een vloorbeeldje. Kijken we eens bij voorbeeld naar facepirater*com, de locatie van de website is verborgen via PrivacyGuardian dot org.
Re: https://www.scamadviser.com/check-website/facepirater.com

Server fouten en IDs waarschuwingen: https://privacyscore.org/site/94025/

Cloudflare misbruik en een aanzienlijk risico vastgesteld: https://toolbar.netcraft.com/site_report?url=dc-ec1241b79c0a.facepirater.com
Meegehost door het Bulgaarse -blue.warez-host.com met ethische warez problemen en phishing https://community.homeaway.com/thread/6557

Zie ook: https://urlscan.io/domain/facepirater.com Niets gehost en niets dat dit domein contacteert.
151 PHISHING waarschuwingen voor deze IP: https://checkphish.ai/ip/104.24.120.59 (plain request cloudflare-nginx abuse).

luntrus
18-03-2018, 21:55 door Anoniem
@ gewaardeerde anoniem van 00:18

Je hebt hier man en paard genoemd. Denk je dat er wat mee gedaan wordt?
Denk je dat het ergens prioriteit heeft?

Russian Business Network in het zuiden des lands, genoeg louche hostertjes, die het faciliteren.

Aangepakt, ondanks de anti-Russische retoriek van de afgelopen tijd? Forget it.
Dat is het dus niet waar de prioriteiten liggen, die liggen bij de "data waterhandel",
zou de Japanner zeggen.

"Big Commerce" verziekt ook ons zo mooie landje.

Het vrolijkt je niet op en verhoogt het vertrouwen in het veilighouden van de infrastructuur niet direct.

Iemand met nog wat inside- of achtergrond-info dienaangaande?

luntrus
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.