Foute hosters – IPv6 en BGP hijacks

A2B-RedSocksVoor de kerst schreef ISPtoday over onderzoek op de TU Delft naar de minder aangename kanten van hosting en domeinnamen. Het verspreiden van malware en dergelijke, waarbij gebruikt wordt gemaakt van systemen en domeinnamen die (tijdelijk) in handen zijn van criminelen, is een grootschalig probleem. Dat er onderzoek naar wordt gedaan is goed.

Tijdens het interview met de onderzoekers bleken twee vragen niet optimaal beantwoord te kunnen worden. Door de gekozen methodiek en de data die beschikbaar is bleven IPv6 en BGP hijacks daarmee onderbelicht. Geen nood. Er zijn mensen in de sector die er verstand van hebben en er ook over willen praten. Met het gepubliceerde artikel in de hand stelden we Rickey Gevers van Redsocks een aantal vragen. De eerste ging niet over iets buiten het interview om: de globale situatie. Wellicht staan we er in Nederland nooit bij stil: maar spam en malware zijn globale verschijnselen met regionale verschillen. Ook al lijkt de ellende vanaf de hele wereld op je servers afgevuurd te worden, er zijn dingen die we hier amper tegenkomen. Door afwijkende karaktersets bijvoorbeeld hebben we weinig last van specifieke vormen van malware en spam die in Aziatische landen voorkomt. Tot zover het eerste antwoord dat al direct iets anders luidde dan we verwachtten.

Toen natuurlijk de IPv6 vraag. Wordt er nu al actief gespamd over IPv6 en hoe gaat die ontwikkeling dan? Het antwoord op die vraag verbaasde. Rickey gaf aan dat er technische issues zijn en nog steeds (te?) weinig feeds waardoor de indruk wordt gewekt dat er geen IPv6 overlast is. En last but not least de threatintelligence die zich baseert op IPv4 is natuurlijk vele malen uitgebreider en geavanceerder dan die van IPv6. Nog wel, want nu de IPv4 voorraad echt het einde nadert zal er vanzelf meer verkeer, goed en kwaad, over IPv6 gaan lopen. En dan wordt het onvermijdelijk dat er ook meer en beter naar gekeken gaat worden. Maar als we er meer over wilden weten moesten we daar ook nog maar eens met Erik Bais van A2B Internet over praten adviseerde Rickey.

De tweede vraag ging over de BGP hijacks, de onderzoekers in Delft kenden het verschijnsel, konden het echter direct niet aan de thema’s van het onderzoek verbinden. Volgens Rickey klopt dat ook wel. BGP hijacks komen voor, maar lijken voornamelijk voor andere doelen te worden ingezet. Als voorbeeld noemde het overnemen van bitcoin-mining capaciteit maar ook het heel gericht infiltreren van één netwerk of zelfs een beperkte groep gebruikers.

Enkele dagen later kregen we Erik Bais aan de lijn. Zonder enige voorbereiding vuurden we dezelfde vragen op hem af. IPv6, dat beeld herkende hij wel. Maar hij voegde er aan toe dat je ook wel erg goed moet opletten hoe je met mail omgaat. De regels voor mailservers om IPv6 verzenden en ontvangen 100% kloppend te configureren zijn schijnbaar best streng. Dus alleen daarom zie je betrekkelijk weinig IPv6 mailverkeer voorbij komen en is er daarmee vooralsnog ook betrekkelijk weinig overlast. Bij BGP hijacks ging Erik redelijk los. Daar zit duidelijk zoveel expertise dat het bijna ondoenlijk is zijn uitgebreide antwoord correct weer te geven. Wat we begrepen is dat het betoog van Rickey klopt. BGP hijacks komen voor, en zelfs als het merendeel te wijten is aan menselijke fouten, de overlast kan enorm zijn. Partijen met boze bedoelingen die hierin investeren zijn er. Maar voor gewoon spammen en malware droppen zijn andere methoden vooralsnog sneller en goedkoper te realiseren.

Hebben Rickey en Erik daarmee antwoord gegeven op de vragen die in Delft onbeantwoord bleven? Ja, tot op zekere hoogte. Maar hun reacties roepen ook weer nieuwe vragen op. Daarom zullen ook in 2016 geheid beide onderwerpen nog aan de orde komen.

Over Redactie ISP Today

ISP Today is het Nederlandstalige platform voor de Internet Service Providers in Nederland. We presenteren nieuws van redactionele kwaliteit met relevantie voor de Nederlandse ISP community. Internet Service Providers en met name de mensen daarachter staan centraal op ISP Today.