Onderzoekers van de KU Leuven hebben miljoenen slecht beveiligde ‘tunneling hosts’ ontdekt. Dat zijn servers of computers die als tussenstation dienen om computernetwerken met elkaar te verbinden. In totaal werden meer dan vier miljoen kwetsbare hosts gevonden.
De onderzoekers van de DistriNet-onderzoeksgroep van KU Leuven stuurden speciale, onschadelijke, testpakketjes met data naar miljoenen apparaten over de hele wereld, en keken of de servers hun pakketje doorlieten. De pakketjes gebruikten een zogeheten tunneling protocol, een bepaalde manier van verpakken.
‘Veelgebruikte protocollen zijn ‘IP in IP’ en GRE (Generic Routing Encapsulation), maar die protocollen laten geen versleuteling of controle van de afzender toe’, vertelt professor Mathy Vanhoef (KU Leuven). ‘Daarvoor moet een extra beveiliging gebruikt worden, Internet Protocol Security, en net daar wringt het schoentje: die extra beveiliging wordt vaak achterwege gelaten. In totaal vonden we meer dan 3,5 miljoen kwetsbare hosts die met IPv4-adressen werken, maar ook meer dan 700.000 die de nieuwere IPv6-adressen gebruiken.’
Ook duizenden thuisrouters kwetsbaar
De kwetsbare infrastructuur zat verspreid over de hele wereld, maar China, Frankrijk, Japan, de VS en Brazilië waren het meest blootgesteld. Soms ging het om netwerken van grote bedrijven als China Mobile of Softbank. In Frankrijk waren duizenden thuisrouters van één internetprovider betrokken. In Vlaanderen bleken ook veel Telenet-klanten kwetsbaar. Alle betrokkenen werden intussen gewaarschuwd en de hosts werden beter beveiligd.
Het onderzoek legde bloot dat kwetsbare hosts door hackers gebruikt kunnen worden om hun identiteit of locatie te verbergen, en ze kunnen een toegangsweg zijn om een netwerk binnen te dringen. Tegelijk kunnen ze ook gebruikt worden voor zogenaamde DoS-aanvallen, wat staat voor Denial of Service. Een dergelijke aanval overspoelt een server met vragen, tot die de overvloed niet meer aankan en overbelast raakt. De onderzoekers ontdekten zelfs drie nieuwe types van zulke aanvallen die specifiek kwetsbare tunneling hosts kunnen misbruiken.
Zwakste schakel
Het onderzoek maakt duidelijk dat een netwerk maar zo sterk is als de zwakste schakel. ‘Veel tunneling hosts bleken slecht geconfigureerd en beveiligd, het is dus zeker voor bedrijven aan te raden deze servers goed te beveiligen’, stellen de onderzoekers. ‘Een server kan bijvoorbeeld zo ingesteld worden dat hij alleen pakketjes van vertrouwde IP-adressen aanvaardt. Dat schakelt al heel wat risico’s uit. Maar een protocol gebruiken dat voorziet in authenticatie en versleuteling is nog veiliger.’
