Het ambitieuze plan moet worden uitgevoerd onder de vlag van Moore’s securitybedrijf Rapid7, dat eerder gericht online-scans uitvoerde. Bij een scan naar IPMI-gaten zijn al zeker 100.000 systemen gevonden die op afstand toegankelijk zijn voor kwaadwillenden. Moore is ervan overtuigd dat er nog veel meer kwetsbaarheden opduiken wanneer er gezamenlijk een grootschalige scan wordt uitgevoerd op alle netwerkapparatuur, software en servers die aan het publieke internet hangen.

Daarom heeft de Metasploit-maker ‘Project Sonar’ in het leven geroepen. De algemene doelstelling van dit initiatief is om datasets die via online penetratietesten zijn verzameld, gezamenlijk met een community te analyseren.

Alvast 3 TB aan data verzameld

Door middel van crowdsourcing kunnen gaten en lekken worden gevonden én gemeld bij de betreffende software- en hardwareleveranciers, vertelt Moore aan SecurityWeek. Crowdsourcing is noodzakelijk voor de grote schaal van Sonar. Het zou met een team van 30 personen namelijk meerdere jaren duren. De melders zouden vergelijkbaar met het Zero Day Initiative van HP-dochter TippingPoint een beloning kunnen krijgen.

Het begin voor het community-project is gemaakt. Rapid7 heeft een dataset van grofweg 3 terabyte gegenereerd uit een eerste scan van systemen die aan het publieke internet hangen. Het team van Moore laat daarbij ook direct weten welke scantools zij gebruiken voor het vergaren van data.

Zo hebben zij ZMap ingezet (ontworpen door de Universiteit van Michigan), UDPBlast (een op zichzelf staande UDP-scanner) en MASSCAN. Laatstgenoemde is een securitytool van beveiligingsbedrijf Errata, dat claimt het gehele IPv4-internet in drie seconden te kunnen scannen.

Miljoenen UPnP-gaten blootgelegd

Beveiligingsbedrijf Rapid7 heeft in de tweede helft van vorig jaar zelf al een grootschalige internetscan uitgevoerd en toen alarm geslagen. Volgens de firma zijn er wereldwijd ruim 83 miljoen IP-adressen waarachter apparaten zitten die reageren op UPnP-ontdekkingsverzoeken.

Dat reageren-op staat nog niet gelijk aan hackbaar; het betreft slechts een erkenning dat het gebruiksvriendelijke protocol UPnP (Universal Plug and Play) daar draait én naar buiten toe open staat. Tussen de 40 en 50 miljoen van de gescande IP-adressen zijn echter wél vatbaar voor een hackaanval, concludeerde Rapid7.