Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 63 reacties

Een aantal ip-adressen die behoren bij systemen van de Nederlandse overheid zijn enige tijd in handen geweest van Bulgaarse criminelen. De ip-adressen, behorend bij het ministerie van Buitenlandse Zaken, zijn inmiddels weer veiliggesteld.

Dat meldt De Volkskrant op basis van informatie afkomstig van ip-adresuitgever RIPE en Spamhaus. Laatstgenoemde had verdachte activiteit opgemerkt op de bewuste ip-adressen en ze op de zwarte lijst geplaatst. Vervolgens werd dat opgemerkt door het Nationaal Cyber Security Center, dat Buitenlandse Zaken waarschuwde waarna de provider op de hoogte werd gesteld. Bulgaarse criminelen zouden verantwoordelijk zijn voor het overnemen van de ip-adressen. Erik Bais, directeur van A2B Internet, liet aan Tweakers weten dat het ging om het ip-blok 193.177.64.0/18.

De overheid merkte zelf niet op dat de ip-adressen werden ingezet voor malafide praktijken, en dat betekent dat de netwerken niet goed in de gaten werden gehouden, aldus De Volkskrant. Het ministerie heeft tegenover de krant bevestigd dat de ip-adressen waren overgenomen. Volgens Buitenlandse Zaken waren de desbetreffende ip-adressen niet in gebruik en zijn er geen signalen van actief misbruik.

In totaal had de verantwoordelijke Bulgaarse club criminelen de ip-adressen zeven dagen in handen. Dat was tussen 19 en 26 november van vorig jaar. De informatie was echter nog niet eerder naar buiten gekomen.

Ip-adressen BuZAIp-adressen BuZA

Moderatie-faq Wijzig weergave

Reacties (63)

Ja ik vraag me zowieso af hoe dit werkt, op een router/server kun je een publiek IP instellen, hoe werkt het dat je niet zomaar ieder willekeurig IP kan instellen, dit vraag ik me eigenlijk al jaren af.
Of heeft dat te maken met het gateway en netwerk/broadcast adres waarvia je weer verder naar buiten communiceert?
Jij kunt vandaag besluiten dat jouw adres vanaf nu: "Kalverstraat 1, Amsterdam" is. Dat kun je aan al je vrieden en kennisen vertellen. Echter, het is onwaarschijnlijk dat PostNL en andere postbezorgers opeens hun brieven voor de Kalverstraat 1 bij jou gaan afleveren.

Zo werkt het met IP ook. Je kunt ieder adres instellen dat je wilt. Maar als je return-traffic wilt ontvangen, dan moet je zorgen dat je adres ook overal op het net bekend is. Op het Internet gebruiken we BGP om onze officiele adressen aan de wereld te adverteren. De eerste stap is om ergens met je vingertjes in iemand anders zijn BGP te wurmen. Dat is nog niet zo makkelijk. De tweede stap is om je valse adressen te adverteren. Ook dat is niet makkelijk, omdat de meeste BGP-routers alleen accepteren wat ze verwachten (en de rest weg-filteren). Echter, routers configureren is mensen-werk. En sommige mensen zijn soms slordig. En dan kun je dus foute dingen doen.
Bedankt voor deze toelichting. Reacties zoals deze doen mij steeds vaker afvragen waarom de redactie niet standaard zelf dergelijke informatie toevoegt aan artikelen over hoe genoemde hacks zijn toegepast. Het is immers de achtergrondinformatie die het echt interessant maakt en op een techsite verwacht ik niet minder dan dat.
De redactie van Tweakers zijn journalisten. De definitie van een journalist is: "iemand die van heel heel erg veel dingen heel heel erg weinig weet". Met andere woorden: ze kunnen overal over meelullen. Maar echt verstand hebben ze nergens van.

BGP-routing, met alle details zoals prefix-hijacking, is een vrij obscure technologie. Je hebt er nooit iets mee te maken, tenzij je 1) voor een grote ISP werkt, en daar je met routing bezig houdt, of 2) je voor een router-vendor werkt, en je daar met routing bezig houdt. Bij elkaar is dat een vrij kleine groep. Je kunt journalisten niet kwalijk nemen dat ze niet met alle details bekend zijn. Zelfs niet op een tech-site als Tweakers.

Gelukkig zijn er altijd Tweakers die toelichting kunnen geven. :) Tweaker boonie bv geeft hier hele nuttige (BPGmon) en correcte informatie (wijst naar longest-prefix-routing). Alleen wat kort en bondig.

[Reactie gewijzigd door gryz op 26 juli 2015 19:41]

Je moet het meer vergelijken met het kraken van dat adres. Als je upstream transit provider niet netjes filtert en alles slikt wat jij middels BGP adverteert dan heb je succesvol het adres gekraakt. Zowel voor outbound als return traffic.
Je hebt gelijk.
Maar je woordkeus maakt het niet duidelijk wie "je en jij" zijn.

Het probleem is dat jij als klant X, met provider Y en transit-provider Z alles correct kunnen doen. En dat je dan nog steeds slachtoffer kunt worden. Bv als crimineel C controle krijgt over bgp-speakers bij netwerk D, en de provider E van netwerk D niet goed filtert.

Btw, ik vraag me af hoeveel access-ISPs in de wereld unicast-Reverse-Path-Forwarding check doen op alle traffic van hun klanten. Dat zou 100% moeten zijn. Maar omdat uRPF geld kost (je moet krachtigere routers hebben) zal de meerderheid het wel uit hebben staan.
Niet dat het wat uit zou hebben gemaakt in deze zaak met de Bulgaren. Als je fake prefixes via BGP kan adverteren, dan werkt de uRPF-check ook direct.
Veel ISP's zijn laks, true. Geen uRPF, geen prefix filtering... Op Amsix en Nlix kun je adverteren wat je wil, ik gok dat minstens een derde alles slikt wat je ze voert.

Overigens heb ik uRPF netwerken vreselijk op de kont zien gooien als je het op de verkeerde plekken aanzet (ik zei de gek)...
Nee dat kan je niet. Je kunt enkel een ip instellen dat binnen het subnet valt waarop je bent aangesloten. Stel dat je bij je rack huurt met een /24 subnet dan kun je alleen adressen instellen binnen dat subnet, een ander adres gaat niet werken. Vaak valt jou subnet dan weer bij de isp in een groter net, een /18 bijvoorbeeld die zij weer adverteren middels BGP op een internet exchange.
Het is niet netjes als het kan, maar het kan wereldwijd bij veel telco's wel degelijk. Bij de meeste gelukkig niet.
Ok, dank voor jullie reactie en uitleg.
Zijn er bijv nog filmpjes die dit Border Gateway Process duidelijk en technisch uitleggen? :9
Een goede ISP/telco weet welke IP-blokken er aan zijn netwerk horen te hangen en past filtering toe op al het verkeer dat vanuit zijn netwerken wil starten met onjuiste IP-adressen. Hoewel de gebruikte protocollen steeds een beetje veiliger worden, zijn ze nooit ontworpen met beveiliging in gedachten. Het gevolg is dat het systeem grotendeels nog werkt op basis van vertrouwen. Veel ISP/Telco bedrijven bestaan op die basis, maar er blijven rotte appels die criminelen (al dan niet onbewust) faciliteren met verkeerde announcements of toelaten van verkeer met gespoofde source-IP.
ik vind: "[...] Laatstgenoemde had verdachte activiteit opgemerkt op de bewuste ip-adressen en ze op de zwarte lijst geplaatst. " wel erg in strijd klinken met: "Volgens Buitenlandse Zaken waren de desbetreffende ip-adressen niet in gebruik en zijn er geen signalen van actief misbruik.".

Lijkt me tijd voor een follow-up aan BZ door tweakers.
Wat is hier vreemd aan ?
BZ had de adressen niet in gebruik. Klopt.

Actief misbruik. Wat versta je daar onder ? Als eigenaar van een blok ip-adressen maak je je natuurlijk vooral zorgen als iemand die fake-adressen gebruikt om jouw klanten naar de verkeerde websites te lootsen. Als dat gebeurd zou zijn, dan komen er vast klachten. En spamhaus zou hier ook helemaal niks van gemerkt hebben.

Wat meer voor de hand ligt: de Bulgaren hebben de fake-ip-addressen gebruikt om snel een hoop spam-email te dumpen. Dat kunnen ze niet zelf, omdat hun eigen ip-addressen geblokt worden door een hoop ISPs (bedankt Spamhaus!). Met fake-adressen kunnen ze wel weer een tijdje spammen. Totdat Spamhaus ze heeft opgemerkt, en die nieuwe ip-addressen ook weer blokkeert. Precies wat lijkt te zijn gebeurd.
huh, hoe kan dit nou. De routers van de sites adverteren via BGP de adressen. Die adressen zijn altijd minder 'ver' weg dan wanneer een buitenlandse router dezelfde IP adressen gaat adverteren (BGP is een distance verctor protocol).

Dus als iemand vanaf het buitenland met dit ip-adres een sessie op probeert te zetten, worden de antwoorden naar de dichtstbijzijnde site gerouteerd. Oftwel, het enige dat ze krijgen zijn sys-ack's en dergelijke. Elke firewall gooit die meteen weg omdat ie geen bijpassende tcp-syn heeft.

Dus is de aanval op de overheid vrijwel 0, en is de aanval op de andere site ook vrijwel nul omdat er nooit sprake kan zijn van een sessie.
Het zou misschien te maken kunnen hebben met het feit dat de adressen niet gebruikt of beheerd werden?
Omdat ze niet beheerd worden bij de legitieme BGP-router kan elke andere BGP router zichzelf als legitiem aanwijzen voor deze adressen?

[Reactie gewijzigd door Soldaatje op 25 juli 2015 11:20]

Het heeft te maken met wat Boonie en KMork vertellen. Je kunt altijd andermans routes adverteren. En je kunt altijd "more specific prefixes" van andermans prefixes adverteren.

Ik heb zo'n vermoeden dat 99% van de tweakers hier geen idee heeft wat "longest prefix match" betekent. Wikipedia heeft een uitleg hier:
https://en.wikipedia.org/wiki/Longest_prefix_match
Maar die vind ik niet geheel verhelderend. Hier is een filmpje dat gerelateerde zaken uitlegt:
https://www.udacity.com/c.../l-1761398539/m-636779696

BGP werkt op vertrouwen. Je vertrouwt je buren. En dus vertrouw je ook de buren van je buren een beetje. Enzovoorts. Werkt goed in de praktijk. Maar is niet perfect. Dat weten we al 20 jaar. En langer. Vind je dat maar niks ? Dan stel ik voor dat je met een oplossing komt. En die even emailt naar de BGP-experts van IETF's IDR-workgroup. :) (Liever niet. :)) Hint: er is al veel aan gewerkt om dit probleem op te lossen. Maar in 20 jaar tijd heeft nog niemand een oplossing gevonden die zowel in theorie als in de praktijk werkt.
Even een vraagje tussendoor, het is toch mogelijk dat een ip-adres naar verschillende computers verwijst? Dus dat mijn verkeer naar 8.8.8.8 in Nederland blijft. En het verkeer naar 8.8.8.8 in Japan, in Japan blijft?
Ja. Dat heet ipv4-anycast.

Meerdere ASes adverteren hetzelfde adres. Bv een /32, host-route, zoals 8.8.8.8/32. Jouw ISP krijgt dan misschien 8.8.8.8/32 binnen van meerdere ASes waar het mee verbonden is. Jouw ISP kiest dan de route die het kortste is.

Dat geeft je betere performance, dan dat al die servers op een punt staan. En als de route niet meer beschikbaar is, dan is er heel snel een andere route naar 8.8.8.8/32 gevonden. Dat gaat dan naar een andere server. Maar voor DNS (8.8.8.8 is een dns-server, als ik me niet vergis) maakt dat helemaal niks uit. Als je een file aan het downloaden was van 8.8.8.8, dan zou je verbinding verbroken zijn, en je opnieuw met downloaden kunnen beginnen (afhankelijk van het protocol, etc). Anycast services zijn het meest geschikt voor hele kort transacties (zoals DNS).

IPv4-anycast is iets wat later toegevoegd is. Gewoon door bestaande protocollen en techniek te gebruiken. Het werkte gewoon. Ik geloof dat IPv6 anycast echt in zijn specs heeft opgenomen. Wat daar het voordeel van is, is mij onbekend. :)

[Reactie gewijzigd door gryz op 25 juli 2015 16:41]

IP's overnemen is vast gebeurd door 'more specifics' te announcen. Dan gaat alles daar heen en heeft de afstand geen rol meer.
dat zouden dan /24 moeten zijn geweest. Kleiner worden door BGP filters weggefilterd. Weet iemand misschien welke de overheid injecteert? ZIjn die groter dan /24?

Als het op deze manier vanuit het buitenland wordt geadverteerd is het GEEN overheids fout maar een peering fout door de nederlandse core-routers. Die moeten toch minimaal de nederlandse netwerken beschermen tegen more-specifics.
BGP hijacks dmv more-specifics adverteren gebeurt regelmatig, meerdere malen per week wel gemiddeld (zo niet dagelijks). Dit kan in meer of mindere mate gevolgen hebben afhankelijk van de filtering toegepast door upstream partijen vanaf waar dit gebeurt. In de meeste gevallen is de impact redelijk beperkt, maar soms kan het tot flinke problemen leiden (indien het onderdeel van een populair blok is en de filtering van de betreffende partijen niet afdoende is).
Dat deze Bulgaren een IP range van de overheid gekaapt en gebruikt hebben betekent echter totaal niet dat er een peering-fout zit in de "Nederlandse core-routers" zoals jij stelt, want het kan prima zijn dat de Nederlandse ISPs deze prefixen uit verkeerde richting wel degelijk gewoon geblokkeerd hebben. Er staat niets in het bericht dat suggereert dat de gekaapte adressen uberhaupt vanuit Nederland bereikbaar waren tijdens de kaping.

Sowieso denk ik dat je een enigszins verkeerd beeld hebt van het internet, want er bestaat niet zoiets als "Nederlandse core-routers". De netwerken op het internet zijn zo breed vermaasd met elkaar opgehangen dat je helemaal niet kan spreken van nationale core-routers in welk land dan ook. Hooguit van "tiers" van providers, waarbij de "tier 1" providers de bovenlaag zijn en verkeer van daaruit naar beneden vloeit naar de lagere niveaus, maar dit gebeurt op een globale schaal, en daar wordt geen rekening gehouden met landsgrenzen.
Dat gezegd hebbende filteren de meeste grotere providers wel degelijk op hun klantinterfaces, zodat ze van hun klanten (kleinere providers) enkel prefixes ontvangen die ook daadwerkelijk aan die partijen zijn toegewezen door RIPE en vergelijkbare instanties.
Wil je bepalen dat Nederlandse netwerken geen anycast mogen doen?
Als alles goed ingesteld staat overal wel ja! Daarom is het een probleem op het internet geworden, overal kan men een more specific aankondigen zonder dat er goed gefilterd wordt.
Het staat op wat voor corerouter dan ook niet per default ingesteld, dat moet je wel zelf doen.
(BGP is een distance vector protocol).
BTW, fyi, om precies te zijn, BGP is een path-vector protocol. Bijna hetzelfde, maar net iets anders.
Volgens Buitenlandse Zaken waren de desbetreffende ip-adressen niet in gebruik en zijn er geen signalen van actief misbruik. << niet in gebruik word lastig als ze bij spamhaus op de RBL lijsten staan. dan moet er toch echt een spam / malware run geweest zijn
Niet door hun in gebruik bedoelen ze hier. Dat ze geen ipadressen montoren in hun range die ze niet gebruiken is toch niet heel vreemd?
Eigenlijk wel, want daarmee zet je net de deur open voor een ander om ermee te gaan lopen.
Eigenlijk wel.
Beheer en beveiligings expert ?
Ook verstand van networking ?

Iedere groot netwerk, van een ISP of een groot bedrijf, wordt gezien als een "entiteit" op het Internet. Die krijgen allemaal een uniek getal. Het zogenaamde "Autonomous System Number" (ASN). Als je routes adverteert via BGP, dan "plak" je daar je eigen ASN aan. Dan weet iedereen waar ze vandaan komen.
Hier kun je bv zien wie welke ASNs heeft:
https://www.ultratools.com/tools/asnInfo

Maar er is nog een voordeel van die ASN. Ze worden gebruikt om routing-loops op het grote Internet te voorkomen. Iedere Automous System plakt zijn eigen ASN aan iedere route die hij door-adverteert aan andere ASes. Stel je voor, de overheid heeft een eigen ASN (101). Ze adverteren 100.1/16 met ASN101 aan de KPN. KPN heeft ASN102. KPN adverteert dan 100.1/16 met AS-path 102->101. Zo bouwt het as-path zich op, via de weg welke het geadverteerd wordt.

Als je nu een prefix-advertisement ontvangt van een prefix dat je als in je route-tabel hebt, moet je het dan accepteren of niet ? Misschien is het een snellere weg dan dat je nu hebt ? Maar misschien is het een advertisement die je ooit al eerder hebt gezien. En zou het een loop veroorzaken als je die route zou installeren. De oplossing is simpel. Kijk in het as-path. Als je je eigen ASN in het as-path vindt, dan weet je dat je advertisement moet negeren ! Zo werkt BGP. Het voorkomt routing-loops door het as-path.

Fantastisch toch ?

Nu de crux van mijn verhaal.

Ik ben een hacker.
Ik adverteer jou ip-prefixes op het Internet. In de hoop jouw traffic aan te trekken.
Stel mijn ASN is 300. Jouw ASN is 800.
Ik adverteer dan jouw prefixes met as-path 800->300.
Mijn buurman ziet niks ergs, want hij ziet routes komen van AS800, en dat is normaal.
Als hij kijkt naar wie de eigenaar van het ip-prefix is, dan ziet hij AS300. En dat klopt, want dat is de originator (het laatste ASN in het as-path).
Alles ziet er goed uit.
Mijn buurman accepteert de valse route. En stuurt het door naar andere ASN.
Iedereen ziet de valse route.
Tot hij bij jouw komt.
Jij ziet dan een nieuwe prefix met (bv) as-path: 1000->999->998->800->300.
Jouw router ziet zijn eigen ASN (300) in het as-path.
En besluit daarom om dit prefix niet te accepteren.

Met andere woorden, iedereen op het net ziet de valse prefixen.
*Behalve* het slachtoffer.

Conclusie:
Je eigen ip-addressen monitoren is makkelijker gezegd dan gedaan.
Monitoren via je eigen netwerk kan een uitdaging zijn maar daar zijn diensten als BGPmon.net voor. Voor de eerste 5 prefixen is de dienst gratis.
Mooie service. Zou ieder AS zich op moeten abonneren.

Het bestaan van zo'n service geeft natuurlijk aan dat bgp-prefix-hijacking helemaal niet zo zeldzaam is. En dat we niet direct moord en brand moeten schreeuwen als een prefix van de overheid eventjes gekaapt was.

En zelfs als je het snel opmerkt dat je prefixes gekaapt worden, dan duurt het toch nog even voor je er wat aan hebt gedaan (of laten doen).

[Reactie gewijzigd door gryz op 26 juli 2015 15:09]

Het is inderdaad niet zo zeldzaam, er meerdere mechanismes zijn waarvan het lijkt dat het een hijack is.
denk aan:
- Anti DDoS multi AS Offramping (multihomed PI space)
- traffic engineering (capacity optimalisatie)
- storing (overigens zie je dan een hele prefix van next hop veranderen)
- config errors (oh jee ik doe ineens een full route.. vaak genoeg gezien)
Dit kunnen allemaal issues zijn die een route flap veroorzaken.
trouwens,die BGPmon kun je ook zelf draaien ;)

Het is heeel vervelend als er van je /15 ineens ergens in de wereld een /16 wordt aangekondigd. looking glasses ftw :(

[Reactie gewijzigd door Kabouterplop01 op 26 juli 2015 16:50]

Helemaal eens met je conclusie! Het is zeer complex om je eigen ip space te monitoren op dit soort events.
Maar, in bepaalde gevallen (je/we zullen BGP updates moeten monitoren en kijken naar bijv route flaps (dit is een anouncement die je vertelt dat een prefix "ineens " achter een andere nexthop en zelfs misschien achter een ander AS vandaan komt.) kun je een verdachte situatie wel herkennen.
Een van de regels op het internet en met ISP-BGP is dat je nooit kleiner dan een /24 aankondigt naar internet. Mocht je in een update tegenkomen dat er ergens kleiner wordt aangekondigd is dat al een verdachte situatie, echter kun je nog steeds niet stellig beweren dat het een prefix of een subnet prefix hijack is.
Het kost veel tijd om dit te onderzoeken.
voorbeelden van flinke prefix hijacks zijn de events van google (meermaals) in Iran en in Afghanistan en Pakistan, waarvan Iran de bekendste was waar het Diginotar verhaal aan het licht kwam.
Overigens er zijn wel wat tooltjes voor te vinden; BGPmon is een bekende.

[Reactie gewijzigd door Kabouterplop01 op 26 juli 2015 14:44]

Maarja, als de beheerders niet weten dat dat mogelijk is (of dat niet hun managers vertellen), dan is het wel logisch dat ze dat niet monitoren.

Tijd voor een opfriscursus. En managers die niet op tijd sturen, maar de technici vakinhoudelijk bezig laten zijn.
Ben benieuwd of ze dit wel gaan melden als de nieuwe wetgeving van kracht is.
Zou een beetje flauw zijn. Het incident kwam bij BZ binnen vanuit NCSC. Als ze moeten melden dan moet dat bij hetzelfde NCSC. Zou niet echt opschieten.
Gaat er niet om of het flauw is, gaat om wat de wetgeving is.
Ahh. In dat geval: de meldplicht datalekken gaat over incidenten waarbij organisaties persoonsgegevens 'verliezen'. Daar is hier geen sprake van. Dergelijke incidenten moeten gemeld worden bij het CBP (niet NCSC).

De meldplicht inbreuken op inbreuken op elektronische informatiesystemen is wel van toepassing op de overheid. Deze beoogt met de melding aan NCSC om NCSC in staat te stellen de schade in te schatten (hadden ze al gedaan), de partij te ondersteunen (waren ze al mee bezig) en andere belanghebbenden te informeren (waren ze al toe in staat). Daarmee is het doel van een eventuele melding eigenlijk wel verdwenen.

Verder betreft de meldplicht uitsluitend aantasting van de integriteit van bestaande systemen; dit incident valt hier waarschijnlijk niet onder.

[Reactie gewijzigd door BitGrinder op 25 juli 2015 13:53]

Waarom ? Welke wet-geving ?

Als ik me niet vergis, heb je het over een wet dat je moet melden als er ingebroken is. Is hier ingebroken ? Ik denk het niet. Zijn er aanwijzingen dat mensen opgelicht zijn ?

Een adres vertelt je waar iets is.
Een adres vertelt je niet wie iemand is.

Als je dat onderscheid niet maakt, dan heb je al verloren. Security moet zijn gebaseerd op basis van encryptie. Authentication keys, certificates, etc. Helaas zijn er een hoop (applicatie-level) mensen die denken dat: "goeie source adres = direct vertrouwen". Altijd al geweest, en zal ook nog wel een tijdje zo blijven.
Een adres vertelt je waar iets is.
Een adres vertelt je niet wie iemand is.

Als je dat onderscheid niet maakt, dan heb je al verloren. Security moet zijn gebaseerd op basis van encryptie. Authentication keys, certificates, etc. Helaas zijn er een hoop (applicatie-level) mensen die denken dat: "goeie source adres = direct vertrouwen". Altijd al geweest, en zal ook nog wel een tijdje zo blijven.
De grote grap is dat je zelf dat onderscheid ook niet maakt...

ALs je wilt weten wie iemand is dan is er geen enkele methode voor.
Certificaten/authentication keys vertellen je hooguit dat de gebruiker toegang heeft tot die certificaten/authentication keys, maar niet of dat gerechtvaardigde toegang is ongerechtvaardigd, of wie de gebruiker überhaupt is.

Security is en blijft gebaseerd op vertrouwen en de rest is enkel maar poes-pas eromheen die het beveiligd laat lijken.
Niet gaan miereneuken. Je weet precies wat ik bedoel. Adressen gaan niet over security. Security is gebaseerd op wie iemand is, hoe je zeker bent dat de persoon is wie hij zegt dat hij is, en wat die iemand mag. Dat is niet makkelijk. En ergens moet je iets vertrouwen. (Een password file, een key, een vingerafdrukken-database, noem maar op).

Maar het moet niet afhangen op waar iemand is.
En als dat wel zo is, dan mag het security systeem zelf lekker uitzoeken of iemand is waar hij zegt dat hij is.

Routing is al moeilijk zat. Eventjes een paar miljard machines met elkaar laten praten. Efficient, snel, goedkoop. Als je van routing ook nog eens verwacht dat het de user-authenticatie gaat verzorgen, dan zit je binnen no-time weer bij een systeem als het telefonie-netwerk. Duur, langzaam, gesloten, geen vernieuwing, en inflexibel.
Denk dat er 1001 redenen bedacht worden, waarom incidenten niet gemeld moeten worden. Overheid zal hier waarschijnlijk makkelijker mee wegkomen dan het bedrijfsleven.
Op welke manier kan een derde partij een reeks met IP-adressen precies 'overnemen'? Is het gebruik van een reeks nog beveiligd, of is het zoals bij BGP-routes meer een trust-kwestie?
Bij mij blijft de vraag hangen; "Waarom had het NCSC dit niet door en hadden ze een commerciële partij nodig om achter dit misbruik te komen?"
(...) op basis van informatie afkomstig van ip-adresuitgever RIPE en Spamhaus. Laatstgenoemde had verdachte activiteit opgemerkt op de bewuste ip-adressen en ze op de zwarte lijst geplaatst. Vervolgens werd dat opgemerkt door het Nationaal Cyber Security Center, dat Buitenlandse Zaken waarschuwde waarna de provider op de hoogte werd gesteld. (...)
Was het voor RIPE en Spamhaus nou zo moeilijk om een telefoon op te pakken / email te schrijven om de ISP van BuZa te informeren?

Blijkbaar dus, en zwaaide SpamHaus met de botte bijl (waar het trouwens om bekend staat) en moest een andere instantie erachter komen dat er iets aan de hand was. Om op haar beurt dus BuZa en die weer haar provider te verwittigen. 7(8)7

[Reactie gewijzigd door RoestVrijStaal op 27 juli 2015 13:35]

Last years news.
Ja, stom als je je IP-adress zichtbaar laat en niets doet met VPN.
Ik zou toch eerst een nadenken, of iets over routing lezen, voordat je zulke domme dingen voorstelt alsdat de overheid al zijn servers achter anonieme VPNs verstopt. :)

"Al die vechtpartijen in cafees ! Ik stel voor dat alle cafees verhuizen naar het industrie-gebied. En daar ik grote loodsen gevestigd worden. Er mogen geen uithangborden op de muur buiten. Er mag niet geadverteerd worden. De telefoonnummer (en addressen) blijven geheim. Niemand mag weten waar die cafees precies zitten".
Nooit meer vechtpartijen in cafees !

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True