D-Link beschuldigd van misbruik NTP-servers
Poul-Henning Kamp, FreeBSD-ontwikkelaar en tevens beheerder van een Deense NTP-server is behoorlijk kwaad op D-Link, omdat dit bedrijf ongevraagd gebruikmaakt van zijn diensten. In de firmware van zijn routers verwijst D-Link naar de bewuste server (gps.dix.dk) om hun interne klok mee te synchroniseren. Gevolg: 75 tot 90% van het verkeer op die server (maar liefst 37 aanvragen per seconde) is afkomstig van wereldwijd verspreide D-Link routers, terwijl de eigenaar in zijn voorwaarden duidelijk stelt dat zijn server alleen door Denen gebruikt mag worden, en ook dat deze niet voor consumenten is bedoeld. Alleen met die restricties mocht hij de machine gratis neerzetten bij de Deense Internet Exchange (DIX).
De DIX is niet blij met het extra internationale verkeer en dreigt de stekker eruit te trekken als het aantal aanvragen zo hoog blijft. Het alternatief voor de eigenaar is om bijna 8000 euro per jaar te gaan betalen voor de hosting. Dat zijn echter niet de enige kosten waar Kamp mee zit: hij heeft al 5000 dollar betaald aan een expert om achter de verklaring voor het probleem te komen. Zelf bleek hij er weinig aan te kunnen doen: filteren van het verkeer was te moeilijk en het adres van de server veranderen is geen optie in verband met de geschatte 2000 'legale' gebruikers.
Kamp nam een advocaat in de arm en vroeg D-Link om een nieuwe firmware uit te brengen waarin zijn NTP-server niet meer opgenomen was. Ook eiste hij een schadevergoeding van ongeveer 32.000 euro om de gemaakte kosten te dekken. Dit alles speelde zich overigens af in november. D-Link heeft ondertussen wel stappen ondernomen om het probleem iets minder erg te maken: voor een aantal producten is een nieuwe firmware uitgebracht waarin de Deense server niet meer gebruikt wordt. Er waren halverwege maart echter nog minstens 25 producten die wél naar gps.dix.dk verwezen, plus de vele duizenden routers die al bij consumenten thuis staan, mensen die voor het grootste deel waarschijnlijk niet eens weten wat firmware is.
De juridische strijd en alle kosten die daarbij komen kijken is dan ook nog niet voorbij. D-Link weigert zijn excuses aan te bieden, maar heeft volgens Kamp wel voorgesteld om zwijggeld te betalen, en zou hem op een ander moment zelfs een afperser hebben genoemd. Met zijn open brief wil Kamp de aandacht trekken van de media en eindverantwoordelijken bij D-Link om extra schot in de zaak te brengen. Uit zijn logs maakt Kamp op dat minstens vijftig mensen van het bedrijf het verhaal al hebben gelezen, maar er is nog geen reactie gekomen.
Het lijkt er overigens op dat de Deense server niet de enige is die op deze manier misbruikt wordt: in de firmware van de routers zijn adressen van maar liefst vijftig 'stratum 1'-servers opgenomen. Het wereldwijde NTP-netwerk is opgedeeld in verschillende niveaus, waarvan stratum 1 de hoogste is, stratum 2 bedoeld voor providers, en consumenten alleen met stratum 3 of hoger te maken moeten hebben, hoewel in het publiek te gebruiken pool.ntp.org ook een aantal stratum 2-servers te vinden zijn. Het lijkt er echter op dat D-Link zijn routers zonder toestemming losgelaten heeft op alle bekende stratum 1-servers, wat in ieder geval een schending is van fatsoen en de gebruiksvoorwaarden van deze diensten. Of het ook daadwerkelijk illegaal is kan alleen een rechter besluiten, maar gezamenlijk staan de beheerders in ieder geval sterker.
Reacties (101)
held dat je er bent.
Het is niet alleen een rechter die kan bepalen of het illegaal is. Gelegenheid geeft geen recht op gebruik, zeker niet als de aanbieder duidelijke voorwaarden heeft opgesteld waar het wel en niet voor bedoeld is.
Het internet is daar geen verschil in. Je kan niet zomaar overal gebruik van maken omdat je er zin in hebt en maling hebt aan de wensen en eisen van de aanbieders.
Jawel, Alleen een rechter kan bepalen of iets illegaal is of niet. Ik snap niet dat je voor dergelijke reactie een "inzichtvol" krijgt.Het is niet alleen een rechter die kan bepalen of het illegaal is
Ok, natuurlijk kun je aan je water aanvoelen dat als een rechthebbende geen toestemming voor gebruik van een bepaalde dienst geeft, dat dan het toch gebruiken van die dienst niet legaal is, maar het oordeel en het laatste woord daarover is aan een rechter. Niet aan mij, niet aan jou, niet aan de gebruiker, niet aan de rechthebbende, maar aan een rechter. Zo werkt het nu eenmaal in een rechtstaat.
Ik mag jou bijvoorbeeld ook het recht ontzeggen om op tweakers wat te typen. Maar of dat verbod rechtsgeldig is, bepaalt een rechter.
wel grappig dat je "precies" niet eens weet waarover je praat. voordat je kodak bijna afschiet moet je je wel het volgende bedenken:
een rechter bepaakt NIET wat al dan niet legaal is: het is de wet die dat bepaalt en de rechter bepaalt alleen of de wet is nageleefd. dus de rechter is niets meer dan een controle van de wet.
Wat ik belangrijker vind is dat d-link schijnbaar zonder toestemming te vragen, iemand grote overlast heeft veroorzaakt. Dan lijkt het me niet meer dan normaal om dat even recht te zetten, en er een wijze les voor de toekomst uit te trekken.
Dat mag dan misschien in Nederland zo lijken, maar er zijn voldoende landen waar de wetgeving voor een belangrijk deel wordt gevormd door jurisprudentie. Groot Brittannië is een uitstekend voorbeeld. En zelfs in Nederland speelt jurisprudentie nog steeds een belangrijke rol als het gaat om zaken waarbij nog niets soortgelijks voor de rechter is geweest (of er sprake is van voortschrijdend inzicht).Politici maken wetten, het is niet de bedoeling dat een rechter z'n eigen mening daarbij doet. Een rechter past de situatie alleen toe op de wetten. Justitia is niet voor niets blind..
Manier 1: D-Link verkoopt producten die van onze dienst gebruik maken en verdient daar geld op dus wij willen een deel van de omzet en/of schadeloos stelling.
Manier 2: Als manier 1 niet lukt klagen we D-Link opnieuw aan maar dan als volgt: D-Link schrijft bewust software om een DDOS aanval op onze server(s) uit te voeren en verspreid deze in de firmware van de routers en accesspoints die zij verkopen.
generally, the rate stays at a value over 250,000 packets-per-second (and over 150 megabits-per-second)
Service Area: Networks BGP-announced on the DIX
Access Policy: open access to servers, please, no client use
Ik haat analogieen, maar vooruit: als ik mijn voordeur open laat staan, betekend dat ook niet dat je binnen mag komen.
Van jou misschien niet, maar volgende wet wel hoor.Ik haat analogieen, maar vooruit: als ik mijn voordeur open laat staan, betekend dat ook niet dat je binnen mag komen.
Zodra jij je voordeur wijd openzet, is iemand die ongevraagd naar binnen wandelt niet strafbaar zolang jij hem niet expliciet de toegang ontzegt.
Of het fatsoenlijk is om dat zomaar te doen is inderdaad een ander verhaal.
@GoodspeeD
Voor je zomaar wat roept, zou jij mij even willen vertellen welke wet ik overtreed wanneer ik bij jou naar binnenwandel als jouw voordeur openstaat? Tip: kijk even wanneer er sprake is van inbraak of huisvredebreuk.
Als Dlink functioniliteit wil inbouwen in hun toestellen moeten zij deze ook zelf aanbieden, en niet anderen opzadelen met hun functionaliteiten!
DLink zal en moet betalen voor deze dienst of ze NIET aanbieden!
37 aanvragen per seconde, das 3.196.800 aanvragen per dag. En dat is dus zo'n 96 miljoen aanvragen per maand.
Zelf bij hele kleine pakketjes is dat toch al een behoorlijke traffic!
Bovendien gaat je vergelijking ook niet geheel op. Als je een FTP server open zet en je laat mensen maar begaan, dan kun je inderdaad verwachten dat particulieren er dingen op gaan doen, die jij niet wilde. Het is echter wat anders dan dat een bedrijf zoiets heeft van: Hé, das een leuke mirror om onze software op te zetten. We laten onze klanten daarvandaan de software downloaden. Als je gebruik maakt van een bepaalde dienst (gratis of niet / open of niet) dan verklaar je je in mijn ogen altijd accoord met de voorwaarden die eraan verbonden zijn. D-link schendt die voorwaarden klaarblijkelijk. Het is dus hun fout.
Dat is toch grote onzin?Het lijkt mij gewoon een publieke service die je beschikbaar stelt en anders moet hij maar een gesloten systeem gaan ontwikkelen.
Moet je toch wel lef voor hebben niet ?
<edit>
Is net hetzelfde als ik mijn tuinslang op de waterkraan aan de buitenmuur van de buurman aansluit.
</edit>
Twee simpele optie's voor D-Link waren/zijn:
1. geen tijdsynchronisatie (zoals hierboven ook al genoemd werd: wordt toch alleen maar gebruikt voor logjes die niemand ziet)
2. bij installatie vragen om een NTP server (bij de Advanced optie's dan ...)
Dat is wel een optie. Het alternatief is namelijk om die tijdserver op te heffen en dan zijn die 2000 net zo de dupe.
Beste wat ze kunnen doen is een nieuwe naam naar de huidge server laten wijzen en die 2000 gebruikers die nieuwe naam laten gebruiken.
Dan de oude naam naar een ander servertje bij een goedkope hoster laten wijzen en die server alleen maar zeeeer foute tijden terug laten geven.
Bij voorkeur zo fout dat die d-link'jes er op crashen (buffer overuns). Gaan al die klanten klagen bij d-link en ligt het probleem weer daar waar het hoort.
Bij voorkeur de buffer zo laten overrunnen dat er echt code gestart wordt... en dan de router D-Link laten overbelasten. :-) Koekje van eigen deeg.Bij voorkeur zo fout dat die d-link'jes er op crashen (buffer overuns). Gaan al die klanten klagen bij d-link en ligt het probleem weer daar waar het hoort.
Het NTP protocol zit zo in elkaar dat dit geen effect heeft als dit met een server gebeurt.Dan de oude naam naar een ander servertje bij een goedkope hoster laten wijzen en die server alleen maar zeeeer foute tijden terug laten geven.
De client vraagt aan meerdere NTP servers om de tijd. Vervolgens wordt de resultaten met elkaar verlegen en foutieve resultaten er uit gegooid. Terwijl je wel met het verkeer blijft zitten.
Dit zou wel kunnen door gezamelijk een fout af te spreken en zo de client overtuigen dat de groep met de foute tijd de juiste geeft. Dan weten ze niet hoe gauw ze je er uit moeten gooien. Liever gisteren zeg maar.
En als de ntp software dit onverhoopt niet ondersteunt, dan is dit sowieso relatief eenvoudig te doen met een firewall.
Volgens het bron artikel is het daardoor ook niet nuttig om te implementeren; filteren kost meer resources dan 'gedachteloos' antwoorden.
gebruik hiervoor het pool.ntp.org
4 entry's in de ntpd.conf
at.pool.ntp.org,be.pool.ntp.org,de.pool.ntp.org,nl.pool.ntp.org en de ntp source van m'n isp.
Heb mijn machines graag op tijd draaien (syslogging) en authentication services (radius en rsa).
een slimme client zal beginnen om elke 64 seconden contact te zoeken, en dat naderhand afbouwen (128 sec of 256 sec)
De doosjes van linksys reken ik even niet onder slimme clients!
per puls/client zal er al snel meer dan 100 bytes aan traffic zijn!
( http://www.pool.ntp.org/use.html ) handige info!
edit:
quote uit volgende document ( http://www.sun.com/blueprints/0701/NTP.pdf ) Unencrypted NTP ethernet packets are 90 bytes long.
Maar doe dat maal X hosts en het kan best veel traffic zijn!, Maar als ik de stats van deze server bekijk (pool network) http://ntp.raggedstaff.net/traffic.php ga ik me wel afvragen waar men zich zo druk over maakt! (als IX!)
Ook al gebruikt elk pakketje maar 90 bytes, als je zo'n ~100 miljoen aanvragen per maand krijgt dan begint dat toch best wel veel te worden.
Op dit item kan niet meer gereageerd worden.
Onderwerpen
Populair: Android Tablets Samsung Websites en communities Mobiele telefoons Google Microsoft Sony Games Politiek en recht
© 1998 - 2013 Tweakers.net B.V. Contact Over Tweakers Jouw privacy Algemene voorwaarden Cookies
Tweakers wordt uitgegeven door De Persgroep en wordt gehost door True
