'Geheime diensten voeren op grote schaal portscans uit in Hacienda-programma'

Vijf Westerse geheime diensten, waaronder de NSA en GCHQ, voeren op grote schaal portscans uit in het zogeheten Hacienda-programma. De portscans om te zoeken naar kwetsbare servers zouden in 27 landen uitgevoerd worden.

Dat meldt de Duitse techsite Heise Online op basis van documenten die afkomstig zouden zijn van een aantal Westerse geheime diensten. In de documenten wordt het Hacienda-programma beschreven. Hacienda zou portscans uitvoeren die gehele landen bestrijken. Aan internet verbonden computers in zeker 27 landen zouden via portscans als potentieel doelwit in kaart zijn gebracht, maar Heise heeft de namen van de betreffende landen niet vrijgegeven. In vijf andere landen zouden portscans gedeeltelijk zijn uitgevoerd.

Het Hacienda-programma zou onder leiding staan van de NSA samen met vier zusterorganisaties waar het nauw mee samenwerkt binnen het zogeheten five eyes-programma. Het gaat om de geheime diensten in Australië, Canada, het Verenigd Koninkrijk en Nieuw-Zeeland.

Volgens de documenten wordt er binnen Hacienda gebruikgemaakt van de nmap-tool voor portscanning. Eventueel kwetsbare servers worden in een database opgeslagen. Volgens de auteurs van het artikel, waaronder onderzoeksjournalist Jacob Appelbaum en documentairemaakster Laura Poitras, laat het Hacienda-programma zien dat de Westerse geheime diensten niet doelgericht werken, maar alomtegenwoordig data over kwetsbare systemen verzamelen zonder enige controle.

Documenten van de Canadese CSIS beschrijven hoe de five eyes-diensten kwetsbare systemen in andere landen in bepaalde gevallen overnemen om dienst te doen als zogenaamde operational relay boxes. Zo zouden in februari 2010 meer dan drieduizend systemen zijn overgenomen die gebruikt kunnen worden voor het uitvoeren van aanvallen. Ook is het uitvoeren van portscans vergaand geautomatiseerd door de geheime diensten en worden de databases met elkaar gesynchroniseerd.

De opstellers van het artikel stellen dat burgers en bedrijven technische maatregelen kunnen nemen in een poging de geheime diensten van zich weg te houden. Een van de mogelijkheden zou port knocking zijn: daarbij reageert een server niet op een tcp syn-request, behalve als een speciaal tcp-pakketje wordt verstuurd. Een beter mechanisme zou echter tcp stealth zijn, een IETF-standaard waarbij een authorisatietoken wordt gebruikt bij het maken van een tcp-handshake. Tcp stealth zou zeer moeilijk te detecteren zijn en bovendien man-in-the-middle-aanvallen als replay attacks verhinderen. Verder roepen de opstellers de internetgemeenschap op om veiliger netwerkprotocollen te ontwikkelen en toe te passen.

Hacienda

IT-banen

Reacties (96)

0x2665 15 augustus 2014 14:48

Volgens de documenten wordt er binnen Hacienda gebruikgemaakt van de nmap-tool voor portscanning

Zou iets als portspoof hier misschien tegen kunnen helpen aangezien nmap wordt gebruikt?

your attackers will have a tough time while trying to identify all of your listening services.
the only way to determine if a service is emulated is through a protocol probe (imagine probing protocols for 65k open ports!).
it takes more than 8 hours and 200MB of sent data in order to get all of the service banners for your system ( nmap -sV -p - equivalent).

Aionicus @0x2665 • 15 augustus 2014 15:16

Dank, meteen ff nakijken

0x2665 @Aionicus • 15 augustus 2014 15:27

Voor meer informatie zie ook de defcon talk van vorig jaar (onder Pwn'ing You(r) Cyber Offenders)

Echter zal je waarschijnlijk door deze tool juist wel worden opgenomen in de database. Tcp stealth klinkt als een betere oplossing om je hier tegen te weren, alleen is dit nog een draft?

goarilla @0x2665 • 15 augustus 2014 21:29

Echter zal je waarschijnlijk door deze tool juist wel worden opgenomen in de database. Tcp stealth klinkt als een betere oplossing om je hier tegen te weren, alleen is dit nog een draft?

Doet me wat denken aan syncookies. Daar gebruiken ze sequence nummers om connectie details in te encoden. Zo sparen ze de socket queues en proberen ze een mogelijke DoS te vermijden. Ik hoop wel dat de implementaties de voorspelbaarheid van die nummers niet in het gedrang brengen want dat zou weer een serieuze stap achterwaarts zijn.

[Reactie gewijzigd door goarilla op 23 juli 2024 21:19]

goarilla @Aionicus • 15 augustus 2014 15:26

Besef wel wat je nu doet: Je installeert een extra netwerk daemon dat clients probeert te misleiden. Deze is ook aanvalbaar ! Je laat ook zo in je kaarten zien. Je valt enorm op als target.

[Reactie gewijzigd door goarilla op 23 juli 2024 21:19]

Brantje @0x2665 • 15 augustus 2014 15:26

Dank, meteen maar even installeren.
Ook leuk hoe je de aanvallers kan exploiten (koekje van eigen deeg).

Als we allemaal dit even opzetten dan zijn de geheime diensten nog een lange tijd bezig met scannen.

Leuk idee: Honeypot voor de diensten, zodat we kunnen zien hoe ze binnen komen.

Soldaatje 15 augustus 2014 14:45

Portscans, zó 2011.

Wel vervelend dat ze het internet zo vervuilen, maar echt ernstig is het niet, normaal gesproken kan je je hier wel tegen wapenen met firewall of domweg een andere poort nemen.

goarilla @Soldaatje • 15 augustus 2014 15:18

Zo erg vervuilen portscans het internet niet hoor. Spam is veel vuiler. Of bots die gewoon exploits op je afvuren zonder te portscannen.

[edit] Persoonlijk heb ik de volgende iptables regel om exotische portscans (Fin,Xmas,...) te fnuiken: iptables -A INPUT -p tcp ! --tcp-flags SYN,RST,FIN,ACK,PSH,URG SYN -j DROP. En een algemene SYNFLOOD en per service SYNFLOOD chains. Ik raad daarenboven ook fail2ban en denyhosts aan.

[Reactie gewijzigd door goarilla op 23 juli 2024 21:19]

Verwijderd @goarilla • 15 augustus 2014 17:06

Ik moest het één en ander even nader opzoeken.....
fail2ban en denyhosts spreekt voor zich, en enkele gaven mij wel een zeker idee wat te betekenen.

SYN (flood): http://nl.wikipedia.org/wiki/SYN_flood
RST: http://en.wikipedia.org/wiki/TCP_reset_attack
FIN: FINished: Einde verbinding.
ACK: ACKnowledge receipt: Bevestiging. Er is al eerder een pakket verstuurd en dit is onderdeel van een sessie
PSH: PuSH. "Duw" de eventuele buffer meteen door naar de ontvanger.
URG: URGent. Dit pakket heeft haast
SYN: SYNchroniseer sequentienummers, oftewel: nieuwe verbinding.

Edit:
Ik moest er ineens aan denken, iemand ervaring met http://www.kali.org/ ?
Moet er nog steeds eens een keer een VM van maken om het uit te testen.

[Reactie gewijzigd door Verwijderd op 23 juli 2024 21:19]

defixje @Verwijderd • 15 augustus 2014 22:22

Ik gebruik als Security expert ook regelmatig Kali (voorheen was dit BackTrack) gewoon omdat het een simpele OS is met al veel handige tools voor pentesting en natuurlijk MetaSploit voor de exploiting-tests

koelpasta @Verwijderd • 15 augustus 2014 18:30

Hier moet nog even bij vermeld worden dat die begrippen (SYN RST, FIN, etc.) allemaal deel uitmaken van TCP. Het zijn dus bitjes (zogenaamde 'flaggen') die in een TCP paketje wel of niet zijn gezet.

Verwijderd @koelpasta • 15 augustus 2014 18:34

Leek mij duidelijk gezien "--tcp-flags"»,»,».....

[Reactie gewijzigd door Verwijderd op 23 juli 2024 21:19]

koelpasta @Verwijderd • 15 augustus 2014 18:42

Dat maakt jouw opsomming nog niet duidelijk.

Hoe dan ook zul je meer van tcp moeten weten om het nut van de vlaggen en hoe je daarop moet filteren te snappen.
Die vlaggen kunnen in combinatie met elkaar andere betekenissen krijgen waarmee bepaalde tcp statusen wordten overgedragen.

Verwijderd @koelpasta • 15 augustus 2014 18:50

Voor alsnog gaat het mij er i.i.g.v meer om dat ik de betekenis minimaal globaal weet voor ik het ga reguleren, zodat wanneer er zich problemen voor gaan doen ik een houvast heb om bepaalde raamluiken te kunnen openen....
Dat ik daardoor alsnog in een informatie stroom terecht kom die mij het gehele TCP gebeuren alsnog volledig duidelijk gaat maken is is een 2e

Ed. @kpsta men vat de beeldspraak omtrent luiken verkeert op.,

[Reactie gewijzigd door Verwijderd op 23 juli 2024 21:19]

koelpasta @Verwijderd • 16 augustus 2014 13:12

Voor alsnog gaat het mij er i.i.g.v meer om dat ik de betekenis minimaal globaal weet voor ik het ga reguleren, zodat wanneer er zich problemen voor gaan doen ik een houvast heb om bepaalde raamluiken te kunnen openen....

Dat bedoel ik dus, je snapt het niet.
Die flags zijn helemaal geen luiken. Het is signaling van het tcp protocol. Als je ze zomaar gaat blokeren omdat je denkt dat je weet wat er gebeurt dan krijg je vrijwel zeker rare dingen waarvan je niet snapt waarom ze gebeuren en laat je waarschijnlijk gaten open in je firewall voor een ieder die wel weet hoe tcp werkt.
Als er zich problemen gaan voordoen dan zul je waarschijnlijk niet weten welke combinatie van flaggen opgaan voor het geval waar je problemen mee hebt.
Wil je een packet-filtering firewall correct kunnen instellen dan moet je eerst snappen hoe (en waarom) tcp communiceert en dan kom je (onder andere) die flaggen ook tegen.

[Reactie gewijzigd door koelpasta op 23 juli 2024 21:19]

koelpasta @Verwijderd • 17 augustus 2014 12:55

Ed. @kpsta men vat de beeldspraak omtrent luiken verkeert op.,

Joh, het gaat helemaal niet om dat stukje beeldspraak.
Het gaat erom dat je uit de namen van die flags de specifieke functie (dus hoe TCP ermee omgaat) niet kan achterhalen. Als je dat wel doet dan krijg je geheid een foute configuratie. Zelfs als je het wel weet kan het lastig zijn om de gevolgen van een regeltje in te schatten, als je het niet weet ben je eigenijk redelijk kansloos in het maken van een goede set regels.
(en daarmee bedoel ik niet dat ik je kansloos vindt ofzo

)

[Reactie gewijzigd door koelpasta op 23 juli 2024 21:19]

Vburen @Verwijderd • 15 augustus 2014 21:27

2 woordjes voor je; metasploid en armitage

Delgul @goarilla • 15 augustus 2014 17:34

En knockd voor de poorten die wel open moeten...

Verwijderd @Soldaatje • 15 augustus 2014 14:50

Hoe wil je je hier tegen beschermen? Als je poort open staat, kun je hem scannen. Kun je niks tegen doen. Uiteraard kun je wel de service dat achter de poort hangt beveiligen ( controleren )

Verwijderd @Verwijderd • 15 augustus 2014 17:16

Portscans kan je detecteren met een goede firewall. Zoiets ziet er als volgt uit:

Time: Wed Aug 13 13:39:15 2014 +0200
IP: x.x.x.x (RO/Romania/client.rdsnet.ro)
Hits: 11
Blocked: Temporary Block

Sample of block hits:
Aug 13 13:38:52 web01 kernel: Firewall: *UDP_IN Blocked* IN=eth0 OUT= MAC=x SRC=x DST=x LEN=88 TOS=0x00 PREC=0x00 TTL=244 ID=49749 DF PROTO=UDP SPT=53 DPT=19805 LEN=68

En dan meestal wordt het tijdelijk geblokkeerd, zodat het geen toegang meer heeft. Als je een eigen server hebt dan zie je dit soort meldingen tientallen keren per dag voorbij komen.

Jaco69 @Verwijderd • 15 augustus 2014 23:16

Als geheime dienst zou ik niet alle poorten scannen op 1 computer en dan de volgende computer maar alle computers scannen op 1 poortje en dan het volgende poortje. En dat met honderden verschillende source IP addressen.
Knappe firewal die doorheeft dat er gescanned word.

Verwijderd @Jaco69 • 16 augustus 2014 16:04

Gewoon een poort openzetten die enkel bedoeld is om scan te detecteren. Legitimie gebruikers komen er nooit. Source ip dit dit wel doet, blokkeren.

hilgo @Jaco69 • 16 augustus 2014 00:37

Die firewall hoeft niet zo knap te zijn, als het verkeer is op bepaalde poorten die niet open staan of niet open staan voor iedereen komt het nog steeds in de logging voorbij. En daar heb je echt geen next gen palo alto voor nodig. Dagelijks zie ik de meldingen voorbij komen in mijn logging

Verwijderd @Verwijderd • 15 augustus 2014 15:30

Port scans zijn in ieder geval te detecteren. Binnen ons bedrijf heeft een grapjas ooit een port scan tool gedraaid, binnen 5 minuten stond de IT afdeling aan zijn bureau.

jpsch @Verwijderd • 15 augustus 2014 21:45

Dat je dat soort software op kan starten als gebruiker.

supersnathan94 @jpsch • 15 augustus 2014 23:12

eigen laptopje meenemen en aan het bedrade netwerk hangen en klaar. Dan kan je zo alle poorten scannen en zelfs met wireshark al het internet verkeer afluisteren op dat netwerk. wireshark is zelfs niet eens detecteerbaar.

goarilla @supersnathan94 • 16 augustus 2014 00:22

en zelfs met wireshark al het internet verkeer afluisteren op dat netwerk. wireshark is zelfs niet eens detecteerbaar.

Dat is dus alleen zo met een hub. Tenzij je je switchpoort in monitor mode of de switch in hub modus kan zetten.

En een capturing wireshark/tcpdump programma oftewel promiscuous mode is dus wel detecteerbaar (http://www.securityfriday.com/promiscuous_detection_01.pdf). Dit werkt op het principe dat in promiscuous modus de NIC filter tussen broadcast, multicast, unicast traffiek wegvalt en de onderliggende stack dus kan reageren op speciale pakketjes.

Legend152 @supersnathan94 • 16 augustus 2014 00:06

Dat gaat bij een beetje een bedrijf niet, die doen aan MAC-filtering.

supersnathan94 @Legend152 • 16 augustus 2014 11:13

Dat is de makkelijkst omzeilbare "beveiliging" die er is. Dit heb ik op school ook een keer gedaan met een oude laptop van mij om het draadloze netwerk binnen te geraken. Dit was vrij simpel toen ik er achter kwam dat alle laptops in de school in 1 reeks mac adressen vielen omdat deze door de systembeerheerders waren veranderd met hetzelfde programma als ik had. even een adresje gappen en dat in mijn laptop ploffen en ik kon zonder enige vorm van andere authenticatie zo het netwerk op.

William_H @supersnathan94 • 16 augustus 2014 13:37

Tsja, als je geen combinatie van dit soort beveiligingen toepast dan is MAC-filtering niet genoeg. Gecombineerd met beveiliging van toegang met het netwerk is het natuurlijk wel een extra beveiliging. Maar als enige is dat inderdaad erg dom.

jopiek @William_H • 17 augustus 2014 13:15

Nou is dat typisch voor systeembeheerders op scholen, want een IT-er met een beetje ambitie groeit door, gebruikt schooltje als springplank en is zo snel mogelijk weer weg.

William_H @jopiek • 17 augustus 2014 14:58

Ik ben geen afgestudeerde IT-er, maar zelfs ik weet dat. Oh wacht, dus maar ff gauw gaan solliciteren dan

Durandal @Legend152 • 16 augustus 2014 04:49

Wel eens van MAC spoofing gehoord?

Verwijderd @Verwijderd • 15 augustus 2014 15:55

Port scans zijn in ieder geval te detecteren. Binnen ons bedrijf heeft een grapjas ooit een port scan tool gedraaid, binnen 5 minuten stond de IT afdeling aan zijn bureau.

Ik vermoed dat het een security scan tool was. Deze zorgen over het algemeen ook voor een flinke system load.
99.9% van de bedrijven weet niet of er intern nmap achtige poortscan gedaan worden. Alleen bedrijven met een IDS (Intrusion Detection Systeem) of iets dergelijks.

musiman

@Verwijderd • 15 augustus 2014 16:15

Je wilt niet weten hoeveel mogelijke soorten portscans er zijn om uit te voeren. En er zijn ook portscan technieken waarbij een derde-partij computer gebruikt wordt om te achterhalen of jij een poort open hebt, waarbij jij niet kunt achterhalen dat ik de scan doe, maar dat je denkt dat de derde-partij pc dat doet. etc.

Cergorach @Soldaatje • 15 augustus 2014 16:00

Portscans, zó 2011.

Eerder 2001...

Volgens mij hebben we dat al jaren geleden gedaan voor het hele internet (ten tijden van de FXP scene), beetje laat dat geheime diensten daar nu pas aan beginnen. Als het nu nog zo open en onbeveiligd is als toen dan moeten er een hoop systeembeheerders achter het schuurtje worden genomen...

bstard @Cergorach • 15 augustus 2014 16:06

Beetje laat, eh? Het is een hele simpele connectie test op 4 poortjes om te kijken of daar bekende gaten in zitten, hoe wil je dat anders doen? Nieuwe naam voor hetzelfde?

Verwijderd @Soldaatje • 15 augustus 2014 16:35

Niet ernstig? Als je op het internet bij wijze van spreken je deuren niet op slot zet dan word er door de overheid potentieel ingebroken en niet door een stel oost-blokkers. Ik vind het uitermate ernstig en het is volstrekt onacceptabel. Dergelijke verspilling van belastinggeld had stukken beter kunnen worden besteed.

Brazos @Verwijderd • 15 augustus 2014 20:09

Dergelijke verspilling van belastinggeld had stukken beter kunnen worden besteed.

Inderdaad. Want ondertussen is men nog te beroerd een paspoort van de "Syriëgangers" in te trekken.

Men geeft niets om binnenlandse veiligheid, snap dus ook niet waarom hier miljoenen aan verspild worden om de gewone burger potentieel dwars te gaan zitten, terwijl de terroristen in alle vrijheid kunnen reizen en vechten.

Xantis @Soldaatje • 15 augustus 2014 14:47

Klopt, maar het gaat er juist om systemen te vinden die dit niet goed hebben geregeld. En je zult je verbazen hoeveel steekjes sommige mensen/organisaties laten vallen.

sander_vk @Xantis • 18 augustus 2014 10:45

Je wilt niet weten hoeveel er open staat wanneer je vanuit het IPv6 internet aan de slag gaat.... per default is er niet meteen een firewall e.d. en wordt het interne verkeer gerouteerd wanneer je bijvoorbeeld een SIXXS subnet met AICCU opzet.

Verwijderd @Soldaatje • 15 augustus 2014 16:32

Je eigen wan-poorten even snel ik kaart brengen: https://www.grc.com/shieldsup

ASS-Ware @Soldaatje • 15 augustus 2014 17:55

Portscans, zó 2011.

Wel vervelend dat ze het internet zo vervuilen, maar echt ernstig is het niet, normaal gesproken kan je je hier wel tegen wapenen met firewall of domweg een andere poort nemen.

Ik denk dat dat lastig kan worden.
Ja ik kan 443 verplaatsen, maar mijn smartphone kan dan niet meer syncen met Exchange, want ik kan daar de poort niet voor aanpassen op de phone.

et36s @Soldaatje • 17 augustus 2014 00:42

Wat ik vooral belangrijk vind in dit bericht dat blijkbaar 5 geheime diensten samenwerken in een project. Dus je gaat me niet vertellen dat geen van die landen op de hoogte was van bijv, Prism

watercoolertje @Soldaatje • 15 augustus 2014 15:40

Wel vervelend dat ze het internet zo vervuilen, maar echt ernstig is het niet, normaal gesproken kan je je hier wel tegen wapenen met firewall of domweg een andere poort nemen.

Ja alleen jammer dat we tegenwoordig vaak gegevens hebben bij 3den waar je helemaal geen invloed hebt op de beveiliging...

edit: serieus ongewenst? WTF is er toch aan de hand hier op tweakers

[Reactie gewijzigd door watercoolertje op 23 juli 2024 21:19]

HetGezegde @bstard • 15 augustus 2014 19:28

Offtopic: hoezo triest? Alsof iedereen op Tweakers dit zo zou moeten begrijpen? Ik heb hier idd geen verstand van, maar vul de community aan met wat anders. Interesses verschuiven.
Daarnaast zijn er veel leden bij gekomen en dienen zij ook aandacht te krijgen.
Neemt niet weg dat dit artikel enorm interessant is.

Verwijderd 15 augustus 2014 15:38

Ik snap niet dat dit nieuws is. Een dergelijke bibliotheek lijkt me vrij elementair.

Niemand_Anders @Verwijderd • 15 augustus 2014 16:53

Het punt van de journalist is dat de portscan algemeen (sleepnet) wordt gedaan en niet op individuele machines of subnets. Dat ze het subnet van Poetin op openstaande poorten scannen kan ik wel begrijpen. Het masaal afluisteren zou bedoeld zijn om terrorisme te voorkomen. Maar dat verklaard dan net niet waarom de NSA swift hackte (ze hadden via de EU al toegang tot de gegevens), het Europees Parlement en ook nog Merkel.

Opvallend genoeg heb ik niet gehoord dat de NSA ook Poetin of Assad aan het afluisteren is. Het massaal in kaart brengen van openstaande porten van alle machines op het internet heeft dan ook helemaal niets te maken met de bescherming van het land. Want dit gaat gaat als een boemerang een keer terug komen. Want als zij Poetin verantwoordelijk houden voor de wapen leveranties aan de rebellen in de Oekraine, waarom zijn wij (EU + VS) dan niet verantwoorlijk voor de wapen leveranties waarmee Israel Gaza heeft plat geveegd of de wapens waarmee ISIS nu momenteel Genocide pleegt in Irak?

Stel je nou eens voor dat die bak installatie aan het internet hing en dat deze recentelijk is geportmapped door de NSA. Probeer dan maar als NSA te bewijzen dat hun die degene zijn geweest die de lancering deden. En zou kan ik wel meer situaties bedenken waarin dergelijke acties ook tegen je kunnen worden gebruikt.

Als ik vanaviond in mijn plaatst ga controleren of alle (achter)deuren van de huizen wel op slot zijn, wordt ik ook opgepakt, dus waarom mogen overheden wel massaal een dergelijke controle uitvoeren. En wanneer begint de EU dan wel Nederland met het beschermen van haar ingezetenen? Andersom mag het namelijk niet..

teacup @Niemand_Anders • 15 augustus 2014 17:25

bak installatie

Ik neem aan dat je her de buk luchtdoel installatie van Russische makelij mee bedoelt, die naar we vermoeden vlucht MH17 uit de lucht schoot?

dus waarom mogen overheden wel massaal een dergelijke controle uitvoeren

Het is maar de vraag of ze dat mogen. Het is in ieder geval geen geaccepteerd verschijnsel bij de burgers, en uit de binnenlandse discussie (Plasterk, Hennis) is al gebleken dat dit willekeurig zoekwerk door onze eigen geheime dienst (in samenspel met NSA) niet wordt gewaardeerd. Of er al een rule of conduct is om dit niet meer te doen is natuurlijk maar de vraag.Misschien moet daarvoor de publieke opinie nog iets duidelijker veranderen.

[Reactie gewijzigd door teacup op 23 juli 2024 21:19]

Silmarunya @Niemand_Anders • 15 augustus 2014 17:53

Omdat de zogenaamde wapenleveringen aan ISIS een fabeltje zijn. Wel zo is dat ISIS grote hoeveelheden westers materieel heeft buitgemaakt op het Iraakse leger en op meer gematigde rebellen in Syrië. Gaza is niet 'platgeveegd', Hamas is met de grootste zorg en nauwkeurigheid mogelijk in een stedelijk gebied aangevallen, als respons op raketaanvallen vanuit Gaza. Burgerdoden zijn altijd een tragedie, maar Israël handelde conform het internationaal recht.

'Andersom mag het niet?' Vreemd, leg dan eens uit waarom de VS zelf ook frequent het slachtoffer is van spionage? Iedereen spioneert op iedereen, of probeert dat minstens te doen.

Brazos @Silmarunya • 15 augustus 2014 20:20

Omdat de zogenaamde wapenleveringen aan ISIS een fabeltje zijn. Wel zo is dat ISIS grote hoeveelheden westers materieel heeft buitgemaakt op het Iraakse leger en op meer gematigde rebellen in Syrië.

Je moet hierin de bijdrage van de Turken niet onderschatten.

Gaza is niet 'platgeveegd', Hamas is met de grootste zorg en nauwkeurigheid mogelijk in een stedelijk gebied aangevallen,

Niets nauwkeurig, hou toch op met die onzin. Schuilkelders, VN scholen, ziekenhuizen waren allemaal doelwitten van het IDF.

Burgerdoden zijn altijd een tragedie, maar Israël handelde conform het internationaal recht.

Dat bepaal jij niet, en Israël ook niet. Daar heeft nog geen enkel bevoegde instantie zich over uitgesproken, dat laten we dus maar even in het midden.

Gaza is niet 'platgeveegd',.....

Gaza is zo erg platgeveegd dat een intact gebouw zeldzamer is dan een bomkrater. Het is compleet platgeveegd, alles. Van energiecentrales tot scholen, van ziekenhuizen tot schuilkelders. Niets bleef ongeschonden.

Prima dat je het voor Israel opneemt of met Israel eens bent, maar je hoeft er niet om te liegen.

Silmarunya @Brazos • 15 augustus 2014 22:30

- Gaza had geen schuilkelders. VN-scholen en ziekenhuizen werden geraakt, maar enkel bij grondige vermoedens dat militanten aanwezig waren. Denk aan de reporter van France 24 die na een aanval op een schooltje ging kijken en op de speelplaats raketlanceerbuizen vond.

- Dat bepaal ik inderdaad niet, maar de teksten zijn redelijk duidelijk en de meeste experts achten de zaak van de Palestijnse Autoriteit dan ook kansloos.

- Enkel militaire doelwitten werden aangevallen. Dat Hamas ervoor koos om haar installaties in bevolkt gebied te plaatsen en burgers te gebruiken als levende schilden is hun zaak - als je in een een gebied woont dat in essentie één grote stad is, hoor je gewoon geen militaire capaciteit op te bouwen. Punt andere lijn.

Je kunt nog zoveel afkomen met 'Gaza ligt plat', maar dat doet er niet toe. Het oorlogsrecht eist enkel dat de aanvallende partij al het mogelijke doet om burgerslachtoffers te vermijden, niet dat ze geen enkele aanval uitvoeren die burgerdoden maakt. Gezien het gebruik van pamfletten, waarschuwingstelefoontjes en dummymunitie is aan die plicht ruim voldaan.

Brazos @Silmarunya • 15 augustus 2014 23:58

- Het was inderdaad geen schuilkelder, een leesfoutje van mij, het was een door de VN aangewezen schuilplaats in een school. Uiteraard een hoop kinderen dood door deze "nauwkeurige" beschietingen.

- Er zijn ook veel experts die het tegenovergestelde beweren. Totaal nutteloos eigenlijk wat individuele experts beweren verder, zij zijn daar niet toe bevoegd en vaak ook niet eens objectief.

- Nonsense. Er was niets nauwkeurigs en precies aan de Israëlische beschietingen, je bent gewoon keihard aan het liegen.

Ze hebben het gebied doorzeefd, nergens en met niets rekening gehouden, en daarbij alles kapot gemaakt.

Ongeacht waar de Hamas stelling neemt, dat is eigenlijk helemaal niet relevant. Er wordt van Israël verwacht dat zij wat meer kunnen en willen, niet dat ze zelf de terrorist gaan uithangen.

De Palestijnen werden al onderdrukt, kregen al amper stroom en schoon water van Israël, en zijn nu nog verder van huis, omdat ze nu echt niets meer hebben. De genocide heeft hiermee wederom een hoogtepunt bereikt.

Verwijderd @Silmarunya • 15 augustus 2014 20:51

Offtopic (dat dan wel, maar wel even nodig voor de eerlijkheid)

Gaza is niet 'platgeveegd', Hamas is met de grootste zorg en nauwkeurigheid mogelijk in een stedelijk gebied aangevallen, als respons op raketaanvallen vanuit Gaza.

Niet platgeveegd?

[Reactie gewijzigd door Verwijderd op 23 juli 2024 21:19]

sjongenelen @Niemand_Anders • 15 augustus 2014 17:39

Niet dat ik het zeker weet, maar je mag toch prima aan de deurklink van een onbekend huis zitten?
Je wordt opgepakt als je naar binnen gaat (of probeert) toch? Affijn, het is je eigen verantwoordelijkheid om de deur op te slot te doen ; als je dat niet hebt gedaan en er wordt ingebroken ben je niet verzekerd iig

Verwijderd @Niemand_Anders • 15 augustus 2014 21:23

Het punt van de journalist is dat de portscan algemeen (sleepnet) wordt gedaan en niet op individuele machines of subnets.

Dat punt neem ik ook als uitgangspunt, maar dan met 'elementair' als kwalificatie. Misschien verwoordt der Spiegel het beter "Mit klassischen Hackermethoden gehen die Geheimdienste der Five Eyes ans Werk".(spiegel.de, 15-8-2014).

goarilla @Niemand_Anders • 16 augustus 2014 00:14

Ik wil absoluut geen belachelijke wetgeving die portscannen verbiedt dan krijgen we Duitse wetgevingen tegen 'hacktools' waarmee je je eigen bevolking dom houdt en een technologische achterstand mee opbouwt.

Met wat snowden heeft uitgelekt over massale surveillance via hardware gehackte routers, MITM van SSL connecties, etc ... is dit eigenlijk helemaal niet verwonderlijk. Er zijn ook initiatieven die het Internet portscannen op regelmatige basis (https://www.eff.org/observatory). Dit is laag hangend fruit voor de NSA. Natuurlijk doen ze dit.

Verwijderd @watercoolertje • 15 augustus 2014 15:44

Komisch, maar om constructief te zijn: DEITYBOUNCE lijkt me wel nieuwswaardig.

Verwijderd 15 augustus 2014 16:16

squidblacklist.org heeft ip-ranges van overheidsdiensten te koop waarmee je ongewenste portscans kunt blokken.

RoestVrijStaal @Verwijderd • 15 augustus 2014 16:19

Alsof geheime diensten braaf enkel hun eigen ip-blokken gebruiken

Giftcard @RoestVrijStaal • 15 augustus 2014 16:48

Inderdaad, zelfde catagorie als een hacker die te werk gaat zonder VPN tunnels etc.

Ik denk dat die ip-ranges/tables interesanter zijn voor een hacker die naar binnen wil bij de desbetreffende overheidsinstantie, ipv je te beschermen tegen port-scans.

En al zouden ze er achter komen welke ranges er gebruikt worden voor die port-scans, dan ga je ze nooit allemaal te weten komen.
Je komt een stuk verder door je gewoon je spullen up-to-date te houden en intern te beveiligen tegen dit soort dingen. (IDS, multivendor firewalls etc)

[Reactie gewijzigd door Giftcard op 23 juli 2024 21:19]

djwice

@Giftcard • 15 augustus 2014 20:19

Goed punt hier, als hacker hoef je alleen de geheime dienst te hacken om te weten waar zich kwetsbare divices bevinden en hoe je er binnen komt. Zo hoef je zelf niet meer het hele internet te poort-scannen. Meestal is social hacking het simpelste, anders gewoon on-premise zien te komen

[Reactie gewijzigd door djwice op 23 juli 2024 21:19]

goats @RoestVrijStaal • 15 augustus 2014 16:52

Daar dienen de poortscans ook voor...
GCHQ staat er bekend om "ondergronds" het werk te doen.
O.a. via TOR, maar een database met te misbruiken servers is net zo handig.

Om eerlijk te zijn denk ik dat ze vooral in duitsland bezig zijn, want de meeste aanhoudende "poortscans" en SIP REGISTERs die ik krijg komen bij o.a. Hetzner en andere duitse colopartijen vandaan.

EricEric752 15 augustus 2014 17:48

Ze zijn vast niet zo dom om achter elkaar je poorten te scannen zodat je ziet dat ze bezig zijn. Als de poortscan zo wordt uitgevoerd dat op elk IP per kwartier slechts 1 poort wordt getest, merk je niet dat je gescand wordt. Dan kost de scan natuurlijk meer tijd, maar alle aangezien ze toch veel ip's moeten scannen maakt dat geen verschil.

MrMonkE @EricEric752 • 15 augustus 2014 21:30

Inderdaad, ik denk dat ze wel zo slim zijn. Vandaag beginnen met poort 80.. heel oost europa.
Volgende week beginnen we aan poort 81.. heel oost europa. Dat is in principe ondetecteerbaar voor elke normale firewall.

defixje @MrMonkE • 15 augustus 2014 22:31

En de firewalls van de hosters dan? Die merken dat op zeker wel hoor.

stresstak @EricEric752 • 15 augustus 2014 22:26

Als de poortscan zo wordt uitgevoerd dat op elk IP per kwartier slechts 1 poort wordt getest, merk je niet dat je gescand wordt.

Maar ik hoef het niet per se te merken. Als het maar in een logfile komt te staan, dan is het een kwestie van sorteren.

Verwijderd 15 augustus 2014 16:31

Ik kan met 90% zekerheid zeggen dat Japan edit: ook een van de landen is.
Ik kijk nog wel eens naar de logs van m'n netwerk verbonden hardware, en het viel me in het verleden op dat er om de zoveel tijd een poortscan op m'n ip werd gedraaid, al geruime tijd ook (in ieder geval een jaar of 4, zo lang ik in m'n huidige appartementje woon)

Heb ik het een keertje uit zitten zoeken (via een simpele whois lookup en het lezen van wat fora's over mensen die vergelijkbare dingen zagen) en daar kwam uit naar voren dat het servers van een japanse ISP waren.. Mailtje naar ze gestuurd wat de ruk ze aan het doen waren, nooit antwoord over gekregen, maar ook nooit meer die portscan gezien.

[Reactie gewijzigd door Verwijderd op 23 juli 2024 21:19]

locke960 @Verwijderd • 15 augustus 2014 16:47

Japan is niet een van de 5 landen. Die 5 landen zijn gewoon bekent en ze staan ook in het artikel (Verenigde Staten, Australië, Canada, het Verenigd Koninkrijk en Nieuw-Zeeland.)

Maar geheime diensten zijn niet de enige die portscans uitvoeren. Ik zou het pas vreemd vinden als ik geen portscans meer langs zie komen. Het gaat bijna continu door.

Verwijderd @locke960 • 15 augustus 2014 16:50

Oh faal, zit ik net nog iemand te vertellen dat ie wel het artikel goed moet lezen (bij een ander artikel) en lees ik zelf over iets heen, derp. Mijn fout, eerdere reactie iets aangepast.

En hmm, ik zie ze dus tegenwoordig niet meer, moet ik me zorgen maken?

[Reactie gewijzigd door Verwijderd op 23 juli 2024 21:19]

HMC @Verwijderd • 15 augustus 2014 17:42

Totaal geen faal. Japan doet het net zoals jij beschrijft ook. Dat ze geen "lid" zijn van de Little Sister Family doet daar niets aan af.

Met Whois kan je dat soort dingen inderdaad leuk zien.

En je zorgen maken moet je altijd.

Silmarunya @locke960 • 15 augustus 2014 17:54

Ga er maar gerust van uit dat Japan, China, Rusland, Duitsland en elk ander land met een inlichtingendienst van betekenis dit soort technieken gebruikt. De NSA is niet beter of slechter dan zijn soortgenoten.

HMC 15 augustus 2014 14:55

Weer wat geleerd. Thanks.
Meteen Tcp Stealth ge-Google't.

LOL: http://nmap.org/nmap_doc.html
Interessant maar het eerste dat opvalt is toch die openings-warning.

Deze is ook vrij oud, maar heel erg interesant:
http://technet.microsoft....ry/dd448557(v=ws.10).aspx

We worden ons door dit soort nieuws dus beter bewust en we gaan onderzoek doen.
Voor al de mensen die zeggen zo onderhand wel genoeg te hebben van al dat NSA-nieuws: Ik niet!
De Wikileaks kwamen in 1 keer, en gingen dardoor in 1 keer.

Dit gaat goed zo.
Ik leer veel,
En doe m'n best om mijn systeem wel op Internet te hebben, maar zou dicht te houden als ik maar kan als (gierige) burger/consument.

goarilla @HMC • 16 augustus 2014 00:03

Deze is ook vrij oud, maar heel erg interesant:
http://technet.microsoft....ry/dd448557(v=ws.10).aspx

Dat is volgens mij een gewone default DROP firewall rule.

StGermain 15 augustus 2014 15:46

Helpt Peerblock hier tegen?

Verwijderd @StGermain • 15 augustus 2014 15:50

Hey,
Peerblock is bedoeld voor bittorrent verkeer, dus wanneer je torrents gebruikt.
Het wordt dus in deze situatie niet gebruikt.
(Peerblock zelf vind ik een beetje achterhaald, maar dat is mijn mening)

[Reactie gewijzigd door Verwijderd op 23 juli 2024 21:19]

RoestVrijStaal @Verwijderd • 15 augustus 2014 16:09

Uuhm nee.

Met PeerBlock kun je net zo goed peers van andere applicaties weren die matchen met de gebruikte lijsten.

RoestVrijStaal @StGermain • 15 augustus 2014 16:17

Hoewel doorgaans ip-blokken die officieel zijn toegeschreven aan de geheime dienst of andere staatsorganen op diverse blocklists staan, maak voor jezelf geen illusies.

De meeste systemen die voor deze portscans zijn ingezet, zijn òf tijdelijk bij random hosters ingehuurd, die denken dat ze het te doen hebben met een scriptkiddie die portscans uitvoert òf overgenomen systemen van burgers of andere bedrijven die gevonden zijn door eerdere portscans.

Oftewel, blocklists kunnen hier niet tegen beschermen.

robobeat 15 augustus 2014 16:37

de logs van mijn IDS staat vol met deze portscans, en vaak van de zelfde IP ranges af. Gelukkig word dat verkeer gelijk gedropt, dus zien ze nog niets

Verwijderd 15 augustus 2014 22:48

Ok sorteren, en dan? IPS blacklisten. Waarschijnlijk gebruiken ze botnets, vechten tegen de bierkaai.

Op dit item kan niet meer gereageerd worden.

Lees meer

IT-banen

Reacties (96)

Sorteer op:

Weergave: