Het hele internet afspeuren naar zwakke plekken

Toen in maart een grote fout aan het licht kwam in de encryptie die websites beveiligt, Zakir Durumeric , een onderzoeker aan de Universiteit van Michigan, was de eerste die wist hoe ernstig het was. Door een scan uit te voeren van elk apparaat op internet, realiseerde hij zich het volledige potentieel ervan nog voordat de onderzoekers die de fout hadden geïdentificeerd, bekend als GEK .





Er waren vragen over de juiste manier om te reageren voordat we de scan deden, zegt Durumeric.

Uit de scan bleek dat meer dan vijf miljoen sites werden getroffen, waaronder die van de FBI, Apple en Google. De like-knop van Facebook, een vaste waarde op veel populaire sites, was ook kwetsbaar. De resultaten leidden tot een dringende, zorgvuldige inspanning om belangrijke bedrijven en organisaties te informeren voordat het probleem publiekelijk werd aangekondigd.

Door de FREAK-fout kan een aanvaller een beveiligde verbinding tussen een webbrowser en een kwetsbare site verbreken en zo toegang krijgen tot versleutelde gegevens die tussen de twee worden verzonden. De aanval werkt door een site te dwingen terug te vallen op een zwakke vorm van codering die in de jaren negentig door de Amerikaanse overheid is opgelegd.



Durumeric leidt een team van onderzoekers aan de Universiteit van Michigan dat scansoftware heeft ontwikkeld genaamd ZMap . Deze tool kan in minder dan een uur het hele openbare internet doorzoeken en informatie onthullen over de ongeveer vier miljard apparaten die online zijn. De scanresultaten kunnen aantonen welke sites kwetsbaar zijn voor bepaalde beveiligingsfouten. In het geval van FREAK werd een scan gebruikt om de omvang van de dreiging te meten voordat de bug publiekelijk werd aangekondigd.

Het ZMap-team is benaderd door: Matthew Groen , een assistent-professor aan de Johns Hopkins University die was gewaarschuwd voor FREAK door zijn ontdekkers, een team van onderzoekers van Microsoft, het Franse Instituut voor Onderzoek in Computerwetenschappen en Automatisering en het IMDEA Software Institute in Madrid.

Green zegt dat de scanresultaten hem hielpen te beslissen wie er een tip moest krijgen, zodat de aankondiging geen grote delen van het internet in gevaar zou brengen. We hebben nog niet eerder zulke goede gegevens gehad, zegt Green. Je kunt precies zien wie er kapot is en mensen precies vertellen hoe erg iets is. Toen Zakir die scan deed, wist ik dat dit slecht was.

Durumeric en collega's ontwikkelden ZMap eind 2013. Voor die tijd duurde het weken of maanden voordat de software die werd gebruikt om het internet te scannen, de klus geklaard had. Bestaande tools waren duizend keer te traag, zegt Durumeric.

Het eerste spraakmakende project voor ZMap was het volgen van de impact van de Heartbleed-bug, een fout in een veelgebruikt stukje webcoderingssoftware dat in april 2014 werd gevonden (zie Veel apparaten zullen nooit worden gepatcht om Heartbleed te repareren). De onderzoekers scanden regelmatig op systemen die kwetsbaar waren voor de bug, en een site gepubliceerd een lijst van de meest populaire niet-gepatchte websites samen met informatie over hoe u het probleem kunt oplossen.

Durumeric zegt dat deze inspanning bedrijven heeft geholpen om hun systemen te repareren. De groep stuurde zelfs geautomatiseerde e-mails om bedrijven te informeren dat ze een kwetsbare infrastructuur hadden en bood advies over wat ze moesten doen. Uit gecontroleerde experimenten bleek dat de meldingen een meetbaar verschil maakten, zegt Michael Bailey , een professor aan de Universiteit van Illinois in Urbana-Champaign die ook aan het project werkt.

Het team is van plan om binnenkort soortgelijke meldingen voor FREAK uit te geven. Het gebruikt ook scans om bij te houden hoe lang het duurt voordat FREAK en soortgelijke grote gebreken zijn verholpen. Bijna een jaar na de onthulling van Heartbleed, zegt Durumeric, is ongeveer 1 procent van de top een miljoen websites er nog steeds kwetsbaar voor.

Een van de redenen waarom bekende bugs blijven hangen, is dat bedrijven de omvang van het probleem niet beseffen, zegt HD Moore , hoofdonderzoeker bij beveiligingsbedrijf Rapid7 . Moore gebruikt ZMap voor zijn eigen scans. De meeste ondernemingen zijn zich totaal niet bewust van ten minste 10 procent van hun activa op het openbare internet, zegt hij. ZMap-scans kunnen bedrijven helpen bij het vinden van kwetsbare infrastructuur.

Moore begon in 2012 het internet te scannen met behulp van software van zijn eigen ontwerp (zie What Happened When One Man Pinged the Whole Internet). Hij loopt nu een meer formeel scanproject bij Rapid7 , met behulp van ZMap en tools die binnen het bedrijf zijn ontwikkeld.

Green zegt dat Google ook is begonnen met het uitvoeren van eigen internetscans. De resultaten worden gebruikt om de Chrome-browser te programmeren om voorzichtiger verbinding te maken met sites die potentiële beveiligingsrisico's opleveren, zegt hij.

Tools zoals ZMap kunnen echter niet alles vinden. De software werkt door systematisch contact op te nemen met elk mogelijk numeriek adres voor internetapparaten met behulp van het meest gebruikte protocol, genaamd IPv4. Dat mist de kleine maar groeiende fractie van apparaten die adressen gebruiken onder een nieuwer systeem genaamd IPv6, dat te veel mogelijke adressen heeft om uitgebreid te scannen. De scans van ZMap kunnen ook niet worden bereikt binnen privénetwerken, zoals bedrijfsintranetsites, of apparaten op mobiele netwerken.

Toch, zegt Green, geven ZMap en andere scansoftware een broodnodig, zij het soms somber, beeld van de staat van de internetinfrastructuur. We worden steeds beter, maar van een heel slechte plek, zegt hij.

zich verstoppen