Eksperiment: 71 minutter før nystartede servere blev angrebet

De har fart på, de kære hackere. I et eksperiment igangsat af BBC satte man et mindre antal nye servere op for at se, hvor længe der gik, før de blev forsøgt angrebet. Det tog kun 71 minutter, før den første bot fandt vej til serverne.

Det er ikke længe, man kan få lov at være i fred i cyberspace. I et nyt eksperiment, som BBC har lavet i samarbejde med sikkerhedsselskabet Cyberreason, satte man et sæt servere op for at se, hvor længe de kunne stå, før nogen forsøgte at angribe dem.

Det tog blot 71 minutter, før et automatiseret angrebsværktøj scannede serverne for sårbarheder.

Det skriver BBC.

Forskerne satte, sammen med journalisterne ved BBC, honeypots op til at registrere indtrængende. Og de fandt en del:

  • 17 procent forsøgte at hente alt det webindhold, som de udsendte bots kunne finde
  • 37 procent kiggede efter svagheder i apps eller forsøgte med alment kendte passwords
  • 10 procent ledte efter bugs i webapplikationer
  • 29 procent forsøgte at bruteforce sig vej til brugeres accounts
  • 7 procent ledte efter smuthuller i systemsoftwaren

Samtidig modtog 'ejerne' af serverne hurtigt adskillige phishingmails, som prøvede at lokke dem til at lukke ondsindet software ind på pc'en. Dette skete for første gang efter 21 timer.

Ifølge sikkerhedsfirmaet bag kan disse oplysninger forhåbentlig bruges til at give et billede af, hvad man som organisation skal være opmærksom på sikkerhedsmæssigt.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Kommentarer (12)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Gert G. Larsen

Det der har jeg også eksperimenteret med flere gange, efter at have læst lignende historier med nogle års mellemrum de sidste 20 år.

Jeg har ikke kunnet genskabe det.

Hvad kræver det? Er der forskel på hvilke IP-adresser man har? - Om det er i et hosting center, der måske er "kendt" for at være nemt at angribe servere hos, om det er på private borgeres ISP-ranges, om det måske ligefrem er dynamiske IP'er, eller lignende? Hvor stor betydning har det?
Jeg kan sætte en boks op på hjemmeadressen, og lytte på alle porte, og ikke se noget aktivitet i flere uger (sidst testet i 2014), med fast IPv4-adresse.
Hvordan kan det være?

PS: Omvendt har jeg også nogle servere i et hostingcenter. De bliver ramt af tusindevis af skøre requests og scanninger pr måned, selv om der ikke kører så meget på dem.

  • 2
  • 0
Andrew Rump

Undskyld jeg spørger :-D men har du testet om der er hul igennem udefra, f.eks. fra en mobil (der ikke er koblet på WiFi)?
Det lyder meget usansynligt for mig, at der ikke er nogen trafik overhovedet!
Jeg er ganske overbevist om at hære af bots konstant scanner hele IP-rangen!

  • 0
  • 0
Benjamin Kristensen

Jeg prøvede for et års tiden siden for sjov at sætte en Raspberry Pi op og forwarde port 22 for at se hvad der ville ske. Det tog ikke mange min før min auth log var fyldt med bruteforce forsøg og ip-addersser der står til at være fra Kina hvis man slår dem op - Da jeg fortalte min bekendte om det og han tjekkede sin log havde han præcis det samme...

  • 2
  • 0
Lasse Mølgaard

Nu hoster jeg kun mails for omkring 10 konti, men jeg blev skam godt nok overrasket over hvor mange phising / spam forsøg der er hver eneste dag.

Alle indkommende mail får sig en vasketur i mit spamfilter.

... og loggen sagde noget i retning af at den havde smidt et par tusinde mails ud om dagen, fordi de kom fra kendte spammere.

Så bliver man pludselig mere glad for SORBS, Spamcop og hvad de ellers hedder. :-)

  • 2
  • 0
Andrew Rump

forwarde port 22 for at se hvad der ville ske. Det tog ikke mange min før min auth log var fyldt med bruteforce forsøg

Lige for at være lidt kedelig :-) Bare du er 100% sikker på at ligemeget hvad der foregår på porten ikke kan overtage enheden, så er du home free - ellers kan du sætte alle enheder på dit netværk i fare!

  • 1
  • 0
Benjamin Kristensen

Jo jo det var under kontrollerede forhold. Siden da har jeg selvfølgeligt ikke port 22 forwarded og min Pi er blevet wipet godt og grundigt :)

Det var mest et eksperiment af proffesionel interesse efter jeg havde set et Defcon indslag om mass-scan og hvordan der står servere og skanner alle ip-ranges hele tiden (Tror det var et indslag hvor de specifikt scannede efter hartbleed).

  • 1
  • 0
Baldur Norddahl

Jeg er ganske overbevist om at hære af bots konstant scanner hele IP-rangen!

Ja hele IPv4 bliver konstant scannet. Men på IPv6 er det simpelthen umuligt for dem. Her bliver du først ramt hvis de på anden vis har fået fat i din adresse.

En server har som regel en fast IP adresse som kan findes via DNS. Men klienter har mulighed for at gøre brug af privacy extension hvormed IP adressen skifter jævnligt. Dermed er risikoen for den type udefrakommende angreb meget reduceret.

  • 0
  • 0
Baldur Norddahl

Jeg forstår ikke helt den præmis.

Det er ret enkelt: uanset hvor stor en internetlinje du har, så er solen brændt ud inden at de har scannet dit interne net, for slet ikke at tale om samtlige mulige adresser.

En IPv6 adresse består af 128 bits. Det vil sige at der 2 opløftet til 128 mulige adresser. Den mindste pakke der kan sendes er 64 bytes. De to tal ganget giver et ekstremt tal som repræsenterer en datamængde menneskeheden aldrig kommer i nærheden af at generere.

Men hvis de kender en af dine tidligere privacy extension adresser, så kender de de første 64 bit af adressen. Så er det kun de sidste 64 bit der skal gættes. Det vil sige at de kun skal sende 64 gange 2 opløftet til 64 bytes trafik for at scanne dit interne net. Det er 1e21 bytes. Eller 1 milliard terabytes.

Hvis de skal bruge mere end et par timer på at sende 1 milliard terabytes til dig, så har din computer i mellemtiden valgt en ny tilfældig adresse.

Kan vi blive enige om at chancen for at du bliver scannet med denne metode er ekstrem ringe? Dermed ikke sagt at man kan undvære firewall.

  • 3
  • 0
Log ind eller Opret konto for at kommentere