Kies jouw kleur

Veel bezocht

Veelgestelde vragen

  • Ik zoek de houder van een domeinnaam. Waar vind ik die?

    Via de Whois kun je de huidige houder van een domeinnaam opzoeken. Om de persoonsgegevens in te zien moet je vanwege de privacygevoelige informatie eerst de gebruikersvoorwaarden van de Whois accepteren. Gegevens van privé personen kunnen ook afgeschermd zijn vanwege de AVG (Algemene verordening gegevensbescherming).

    Op de pagina domeinnaam zoeken lees je meer over wat een domeinnaam is, de werking van de Whois en de privacy van persoonsgegevens.

  • Ik wil mijn domeinnaam verhuizen. Hoe doe ik dat?

    Je wilt je domeinnaam verhuizen naar een andere registrar. Vraag dan je verhuistoken op bij je huidige registrar. Lees de verhuisstappen op de pagina domeinnaam verhuizen.

  • Ik wil mijn contact/adresgegevens aanpassen bij mijn .nl-domeinnaam. Hoe doe ik dat?

    Neem contact op met je registrar. Jouw registrar kan de contactgegevens bij je domeinnaam voor je aanpassen. Wij raden je aan het resultaat te controleren via de Whois. Lees meer over het aanpassen van je gegevens bij contactgegevens wijzigen.

  • Waarom staat mijn domeinnaam in quarantaine?

    Wij weten niet wat de reden van de opheffing is. Neem contact op met je registrar. Het voordeel van de quarantaine is dat je altijd de mogelijkheid hebt om een opheffing die je niet had bedoeld te herstellen.

    Voorbeeld: In de voorwaarden van je registrar staat dat je elk jaar je abonnement moet verlengen. Dat gebeurt dan niet automatisch. Zo kan het gebeuren dat je domeinnaam wordt opgeheven zonder dat je er om gevraagd hebt.

  • Ik heb een klacht over mijn provider/registrar. Kan ik daarvoor bij SIDN terecht?

    Wanneer je een klacht hebt over of een geschil met je registrar dan zijn er verschillende mogelijkheden om tot een oplossing te komen. Hierover lees je meer op pagina klacht over registrar. SIDN heeft geen formele klachtenprocedure voor het behandelen van een klacht over jouw registrar.

  • Waaraan moet ik voldoen als registrar?

    Wil je zelf direct domeinnamen kunnen registreren bij SIDN voor je klanten of voor je eigen organisatie? Dan kun je .nl-registrar worden. Lees meer over de voorwaarden en de manier waarop je je kunt inschrijven als registrar via de pagina registrar worden.

Meer veelgestelde vragen

Een analyse van kwetsbaarheden in de netwerkinfrastructuur

Aanvallen op routers in kaart brengen en de intenties van aanvallers identificeren door middel van honeypots

Aansluiting voor internetverbinding

Samen met de Universiteit Twente onderzoeken we het effect van kwetsbare netwerkapparaten op de veiligheid van het internet. Als voorbeeld bestudeerden we de impact van 2 publiekelijk bekende kwetsbaarheden in de veelgebruikte routers van MikroTik, die begin/medio 2018 voor het eerst werden gemeld. Aan de hand van honeypots analyseerden we de acties die aanvallers ondernamen zodra een apparaat was gecompromitteerd. De focus van ons onderzoek lag op ‘tunnelaanvallen’ die aanvallers in staat stellen om al het verkeer van een router te onderscheppen en om te leiden. Hoewel MikroTik al in 2018 firmware-updates uitbracht om de kwetsbaarheden te verhelpen, zien we dat de aanvallen vandaag de dag nog steeds plaatsvinden, wat nog maar eens aantoont hoe belangrijk het is om software updates toe te passen.

Het probleem: een groeiend aantal kwetsbare apparaten

Kwetsbare apparaten vormen een steeds groter probleem op het internet. Met het internet verbonden apparaten zijn vaak slecht beveiligd, bijvoorbeeld omdat fabrikanten stoppen met het verstrekken van updates voor hun firmware of omdat gebruikers die updates niet uitvoeren. Dit is een bekend probleem met internet-of-things (IoT) apparaten, maar kan ook voorkomen bij apparaten in de internetinfrastructuur, zoals routers en switches. Aanvallen op dit soort apparaten zijn vooral problematisch omdat ze gevolgen kunnen hebben voor grote aantallen gebruikers. Aangezien netwerkrouters steeds vaker programmeerbaar zijn en gebaseerd op algemene hardware, kunnen fabrikanten hun functionaliteit gemakkelijker bijwerken terwijl ze in bedrijf zijn. Toch zijn er legio soorten malware die misbruik maken van kwetsbaarheden. Zo zijn VPNFilter, Navidade en SonarDNS nog niet zo lang geleden gebruikt om kwetsbare netwerkrouters te compromitteren en allerlei soorten cybercriminaliteit te plegen, van DDoS-aanvallen tot het installeren van gijzelsoftware. Tegelijkertijd wordt algemeen aangenomen dat niet iedereen zijn apparaten bijwerkt met de nieuwste patches en dus vroegen we ons af: in welke mate worden bekende en te verhelpen routerkwetsbaarheden nog steeds uitgebuit?

Casestudie: MikroTik-routers

Als voorbeeld van een router met publiekelijk bekende kwetsbaarheden namen we de MikroTik-router onder de loep. We vonden deze routerfamilie een geschikte kandidaat voor ons onderzoek, omdat de routers op grote schaal worden gebruikt. We analyseerden de gegevens van openbare Shodan-scans (4 terabytes aan gegevens) die in één maand waren uitgevoerd en vonden 4.742.944 verschillende IP-adressen en 6.484.420 verschillende records die gerelateerd waren aan MikroTik-apparaten. Dat aantal is waarschijnlijk een onderschatting, omdat onze analyse zich beperkte tot routers die door Shodan te bereiken waren. We konden geen MikroTik-routers achter filters en in gesloten infrastructuren analyseren (zoals in thuisnetwerken of Internet Exchanges).

Routers met kwetsbaarheden CVE-2018-7445 en CVE-2018-1156

We richtten ons specifiek op MikroTik-routers met de kwetsbaarheden CVE-2018-7445 en CVE-2018-1156. We kozen die kwetsbaarheden omdat ze kritiek zijn - ze maken allebei externe uitvoering van willekeurige code mogelijk - en omdat ze ongeveer 2 jaar geleden al werden gemeld (in respectievelijk maart en augustus 2018). Beide CVE's zijn opgenomen in de openbare NIST-kwetsbaarhedendatabase (NVD). MikroTik heeft beide kwetsbaarheden gerepareerd door middel van software-updates in respectievelijk maart en augustus 2018, maar niet alle gebruikers hebben hun apparaten bijgewerkt, waardoor ze kwetsbaar zijn voor aanvallers.

Metingen met behulp van honeypots

Op basis van onze analyse van de Shodan-gegevens, constateerden we dat we aanvallen op gecompromitteerde MikroTik-routers het beste konden bestuderen door gebruik te maken van honeypots, omdat we op die manier de zogeheten ‘tunnelaanvallen’ (hierover verderop meer) in kaart konden brengen. Met behulp van honeypots simuleerden we een kwetsbare router waarvan de gebruiker niet de benodigde updates had uitgevoerd. Op basis van de populariteitscijfers bepaalden we waar we onze speciaal ontworpen honeypots moesten plaatsen om het aantal aanvalspogingen te maximaliseren. We plaatsten 6 honeypots (in Australië, Brazilië, China, India, Nederland en de Verenigde Staten) en verzamelden en registreerden 120 dagen lang alle verbindingen die ermee werden gemaakt. Uiteindelijk registreerden we meer dan 44 miljoen pakketten (12 miljoen flows) en 3,8 miljoen logboekrecords.

Wat is een tunnelaanval?

Een tunnelaanval is een aanval die tot doel heeft netwerkverkeer vanaf de router door te sturen naar een externe server die wordt beheerd door de aanvaller. Een voorbeeld van malware die dergelijk gedrag mogelijk maakt, is VPNFilter, waarbij netwerkverkeer wordt afgeluisterd, versleuteld en geëxfiltreerd via Tor. Het gebruik van tunnels is niet beperkt tot MikroTik-aanvallen en is een bekende techniek voor het aanvallen van routers. Tunnelaanvallen kunnen vooral ernstige gevolgen hebben als de gecompromitteerde routers deel uitmaken van kritieke infrastructuren, zoals datacenters, registry's of Internet Exchange Points (IXP’s). Als aanvallers bijvoorbeeld een router in handen krijgen die verantwoordelijk is voor de BGP-routering kunnen ze het verkeer van een autonoom systeem volledig platleggen of omleiden.

Wat hebben onze honeypots opgeleverd?

Omdat onze honeypot een kwetsbare MikroTik-router emuleerde, konden we de tunnel zelf analyseren – bijvoorbeeld door te kijken naar het gebruikte protocol en het eindpunt van de tunnel. Het protocol is de methode die wordt gebruikt om de tunnel te implementeren en eindpunten zijn computerservers die worden gebruikt om de tunnel tot stand te brengen. In onze honeypots zagen we (Figuur 1) dat de meest gebruikelijke tunnelprotocollen het Point-to-Point Tunneling Protocol (PPTP) en het Simple Service Discovery Protocol (SSDP) waren.

Lijndiagram - Aantal gevestigde tunnels zoals waargenomen door onze honeypots, gegroepeerd op protocol

Figuur 1: Aantallen tot stand gebrachte tunnels zoals waargenomen door onze honeypots, gegroepeerd op protocol (SSDP/PPTP).

De aanvaller moest het protocol kiezen, omdat onze honeypots beide protocollen ondersteunden. We denken dat PPTP populairder is omdat het eenvoudig te implementeren is - er is immers geen SSL-configuratie voor nodig.

In Figuur 2 laten we voor elke honeypot de verdeling van de landcodes van de tunneleindpunten zien. Meestal zijn eindpunten dedicated servers die worden beheerd door de aanvaller. Deze servers kunnen computers in de cloud zijn of gecompromitteerde apparaten die door de aanvaller worden bestuurd. We ontdekten dat IP-adressen in de Verenigde Staten, Rusland en Nederland samen meer dan 50% uitmaakten van alle IP-adressen die verkeerstunnels exploiteren.

Staafdiagram - Landcode tunneleindpunt (x-as) en per honeypotlocatie

Figuur 2: Landcodes van de tunneleindpunten (x-as) en per honeypotlocatie .

Figuur 3 laat de verdeling van IP-adressen ten opzichte van de landcodes van de tunneleindpunten zien. IP-adressen in de Verenigde Staten, Rusland en Nederland maken samen meer dan 50% uit van alle IP-adressen die verkeerstunnels exploiteren. Slechts 5 IP-adressen zijn verantwoordelijk voor bijna 50% van het totale aantal tunnels. Het IP-adres 46.X.X.122 fungeerde in alle honeypots als eindpunt en werd gebruikt op 116 van de 120 dagen die werden geanalyseerd. Onze honeypots werden elke dag opnieuw opgebouwd/geïnitieerd, zodat een aanvaller het systeem opnieuw moest compromitteren om een tunnel tot stand te brengen, wat erop wijst dat het IP-adres 46.X.X.122 zeer actief was.

Table - Endpoint IP-adres en honeypot-correlatie

Figuur 3: Correlatie tussen de IP-adressen van de eindpunten en de honeypots.

Uit ons eindpuntonderzoek blijkt dat aanvallers dedicated machines gebruiken om het verkeer van verschillende gecompromitteerde routers om te leiden. Waarom ze dat doen, blijft onduidelijk; misschien om het verkeer aan te passen of om gevoelige informatie te bemachtigen die niet is versleuteld.

Wat hebben we geleerd?

Uit onze analyse blijkt dat kwetsbare routers een risico vormen voor de veiligheid van het internet, wat vooral ernstig kan zijn als het kritieke infrastructuren betreft. We hebben empirisch bevestigd dat het inderdaad waar is wat algemeen wordt aangenomen, namelijk dat niet alle gebruikers hun firmware updaten, zelfs als al 2 jaar bekend is dat er kwetsbaarheden zijn en de leverancier oplossingen beschikbaar heeft gesteld. Ook laten we zien dat aanvallers de kwetsbaarheden blijven uitbuiten, waardoor een robuuste houding ten aanzien van het toepassen van patches van groot belang is voor de gebruikers van allerlei soorten apparaten, niet alleen van MikroTik-routers. We zijn van plan om ons onderzoek te vervolgen door het getunnelde verkeer onder de loep te nemen, zodat we meer inzicht krijgen in de bedoelingen van de aanvallers.

Ethische overwegingen

Bij onderzoeken met honeypots is het belangrijk om stil te staan bij de ethische aspecten van het gebruik van honeypots. Een veilige honeypot moet voldoen aan de eisen die daarvoor zijn vastgelegd in de EU-wetgeving en beschikken over de volgende 5 kenmerken:

  • Firewall: alleen verbindingen met bepaalde poorten zijn toegestaan.

  • Dynamische omleiding van verbindingen: alleen vertrouwde verbindingen hebben toegang tot diensten buiten de honeypot.

  • Geëmuleerd particulier virtueel netwerk: de honeypot moet actief zijn in een beperkt particulier netwerk om aanvallers te beperken.

  • Testbed: kwetsbaarheden in toepassingen moeten worden geanalyseerd in een gecontroleerde omgeving.

  • Beheercentrum: de beheerder van de honeypot moet de verbindingen monitoren en snel acteren op incidenten.

Deze kenmerken werden gebruikt als leidraad voor het ontwerp van de honeypot in dit onderzoek. Verder hebben we zowel de Nederlandse IP-adressen die op onze honeypot afkwamen om aanvallen uit te voeren als de IP-adressen die fungeerden als eindpunt voor tunnels, doorgegeven aan het Nationaal Cyber Security Centrum.

Meer informatie

In een paper (PDF) die we presenteerden tijdens het IEEE Network Operations and Management Symposium (NOMS) geven we een meer gedetailleerde beschrijving van ons werk. Een uitgebreide versie van de analyse is ook te vinden in het openbare technische rapport. Zoals altijd horen we graag jullie feedback op ons werk.

Artikel door:

João Ceron

Research engineer

Elmer Lastdrager

Elmer Lastdrager

Research engineer