RSA-hackers verkregen toegang via phishing-mails
De hackers die informatie over de werking van sleutelgenerators hebben buitgemaakt bij de beveiligingsfirma RSA Security, wisten met behulp van een eenvoudige phishing-mail toegang te krijgen tot het bedrijfsnetwerk.
Hoe de aanval op RSA Security precies was uitgevoerd, was tot nu toe nog onduidelijk. Inmiddels heeft het beveiligingsbedrijf meer inzicht gegeven in de methodiek die de hackers gebruikt zouden hebben. Allereerst zou naar een selecte groep werknemers van RSA een phishing-mail verstuurd zijn waaraan een met malware besmette Excel-file was toegevoegd. Een van de werknemers zou de mail met als onderwerp '2011 recruitment plan' hebben geopend, waarna op zijn systeem via een zero day-beveiligingsgat in Adobe Flash een achterdeurtje geïnstalleerd kon worden.
Met behulp van de malware wisten de hackers toegang te krijgen tot het bedrijfsnetwerk van RSA, mede door het bemachtigen van de inloggegevens van de RSA-werknemer op het gekraakte systeem. Tenslotte wisten de hackers gevoelige bedrijfsgegevens naar buiten te smokkelen, waaronder informatie over de werking van SecurID-sleutelgenerators.
Wie de hackers precies zijn, is nog onbekend. Zij zouden tijdens de aanvallen op de RSA-systemen vrijwel geen sporen hebben achtergelaten, al zou een door de hackers gebruikte domeinnaam naar China verwijzen. Dit wil echter niet zeggen dat zij daadwerkelijk vanuit dit land opereerden.
Reacties (94)
Hackers lijken de strijd te winnen. Grote (security-)firms gekraakt en ook verschillende overheden. Dat kan wel wat betekenen voor de inrichting van grote bedrijven, als je je netwerken weer moet ontvlechten van het internet.
Hackers behalen hier en daar een 'overwinning', als je het zo mag noemen. Wat is 'de strijd' waar je het in dit geval over hebt? Het is niet 'Hackers versus de rest', imho, ook aangezien er nogal wat overlap in die twee partijen zit.
Het is een strijd in zoverre dat overheden en bedrijven grote hoeveelheden gevoelige informatie verzamelen, maar zorgen over veiligheid van de hand wijzen. Dit soort incidenten, die de laatste tijd steeds vaker voor lijken te komen, tonen gewoon aan dat het altijd om schijnveiligheid gaat. Juist ook als het technisch allemaal in orde lijkt.
Ik verbaas me enorm dat deze systemen niet fysiek gescheiden zijn. Waarom zou een leverancier van dit formaat niet zijn geheimen afschermen van het internet???
omdat het in deze tijd de standaard is dat iedere werknemer op elke plek bij zijn geheimen kan komen. Helaas is het afschermen tegen derden (lees hackers) altijd een kat en muis spel. Zo moet je constant de beveiliging verbeteren, anders wordt het een open huis
Dan nog is het niet lastig te scheiden.
Bv door 2 systemen te gebruiken die in elkaar integreren, bv een browser die via xenapp servers draait.
Of je kan beveiliging aanbrengen waarbij je aangeeft dat alleen bepaalde programma's op een systeem naar buiten kunnen (software firewall)
Bv door 2 systemen te gebruiken die in elkaar integreren, bv een browser die via xenapp servers draait.
Of je kan beveiliging aanbrengen waarbij je aangeeft dat alleen bepaalde programma's op een systeem naar buiten kunnen (software firewall)
in dat soort systemen zijn na een verloop van een tijd altijd exploits te vinden, en dat is dus het kat en muis spel vindt de hacker of de update linie van het bedrijf de exploit eerder dan de ander
fysiek scheiden is de enige manier om zeker te weten dat het niet software matig naar buiten komt.
fysiek scheiden is de enige manier om zeker te weten dat het niet software matig naar buiten komt.
Precies, een zero day exploit in flash nam waarschijnlijk de browser over. Ik neem aan dat de hackers via poort 80 naar zich zelf communiceerden. Hoe ga je poort 80 firewallen? Of de browser? Zero day expoits kun je ook niet tegengaan.
Het idee van Xenapp servers heb ik zelf ook vaak uitgezet. Maar het probleem is dat men binnen de beveiligde omgeving ook toegang tot email wil of integratie tussen desktop en hosted omgeving. Daarmee begint het probleem vaak weer opnieuw.
Misschien is een gesloten netwerk met een proxy server het beste. In de DMZ dan een virus/web filtering doos ertussen. Maar zelfs dan ben je nooit 100% beveiligd.
Het idee van Xenapp servers heb ik zelf ook vaak uitgezet. Maar het probleem is dat men binnen de beveiligde omgeving ook toegang tot email wil of integratie tussen desktop en hosted omgeving. Daarmee begint het probleem vaak weer opnieuw.
Misschien is een gesloten netwerk met een proxy server het beste. In de DMZ dan een virus/web filtering doos ertussen. Maar zelfs dan ben je nooit 100% beveiligd.
[Reactie gewijzigd door dycell op 4 april 2011 15:24]
Hardware matig beveiligen door 2 computers te gebruiken op verschillende netwerken is nog altijd de beste oplossing. Je kunt de overheid veel verwijten, maar zo doen ze dat binnen Defensie en daar is nog maar weinig gevoelige informatie op die manier 'gejat'.
Lijkt me onrealistisch, en wat zou het uitmaken, dan hadden ze die mails wel verstuurd naar werknemers die toegang hadden op het andere fysieke netwerk. En deze geheimen zijn wel degelijk afgeschermd van internet. Maar eens je logins van het domein hebt ... moet je niet noodzakelijk in de DMZ zitten. De storage met deze gegevens gaat echt niet in een serverroom staan waar 1 fysieke server op hangt zonder network access, lijkt me ongemakkelijk in gebruik?!
Fysiek gescheiden is leuk in theorie, maar in de praktijk worden dergelijke systemen ook gecompromitteerd als je tegenstander genoeg kennis en mogelijkheden heeft.
Kijk bv. naar wat Stuxnet aangericht heeft in Iran terwijl hun controlesoftware ook draait op systemen die niet aan het internet hangen. Men is er wel in geslaagd om dat virus uitgerold te krijgen op hun nucleaire installaties waardoor hun efficiëntie op 'onverklaarbare' wijze zakte (en het atoomprogramma van Iran dus minder belangrijk geworden is).
Bovendien zorgt fysieke scheiding er ook voor dat de informatie zelf niet toegankelijk is om gebruikt te worden door het bedrijf zelf. Tenzij je die informatie enkel nodig hebt in noodgevallen (bv. de certificaten van het allerhoogste niveau (zoals bv. in DNSSEC of vrijwel elke andere hiërarchische structuur van certificaten/handtekeningen/sleutels)), is het een heel gedoe om je informatie geheel fysiek te scheiden van je netwerk. Daarnaast moet je er ook aan denken dat er op een of andere manier een backup moet bestaan van de gegevens, er bestaan wel technieken die dat op een cryptografisch veilige manier doen, maar voor bedrijfsgeheimen zou ik toch liefst ook weten wanneer een backup van het geheim ondeugdelijk geworden is.
Kijk bv. naar wat Stuxnet aangericht heeft in Iran terwijl hun controlesoftware ook draait op systemen die niet aan het internet hangen. Men is er wel in geslaagd om dat virus uitgerold te krijgen op hun nucleaire installaties waardoor hun efficiëntie op 'onverklaarbare' wijze zakte (en het atoomprogramma van Iran dus minder belangrijk geworden is).
Bovendien zorgt fysieke scheiding er ook voor dat de informatie zelf niet toegankelijk is om gebruikt te worden door het bedrijf zelf. Tenzij je die informatie enkel nodig hebt in noodgevallen (bv. de certificaten van het allerhoogste niveau (zoals bv. in DNSSEC of vrijwel elke andere hiërarchische structuur van certificaten/handtekeningen/sleutels)), is het een heel gedoe om je informatie geheel fysiek te scheiden van je netwerk. Daarnaast moet je er ook aan denken dat er op een of andere manier een backup moet bestaan van de gegevens, er bestaan wel technieken die dat op een cryptografisch veilige manier doen, maar voor bedrijfsgeheimen zou ik toch liefst ook weten wanneer een backup van het geheim ondeugdelijk geworden is.
Echter was er bij stuxnet wel degelijk sprake van een fysieke link: (hoogstwaarschijnlijk) via een usbstick van een medewerker, al dan niet opzettelijk, heeft de worm in het netwerk weten te infiltreren.
Het verschil tussen een gescheiden systeem en een systeem dat onderdeel is van het grote geheel dat internet heet is de verbinding die het systeem heeft met het internet. Als de PC via het interne netwerk verbonden is met de rest van het netwerk van het bedrijf dat vervolgens weer verbonden is met het internet, heb je een permanente verbinding.
Als de verbinding tot stand komt door een mediadrager tussen twee pc's heen en weer aan te sluiten heb je een kortstondige verbinding.
Het systeem is nog steeds niet waterdicht bij een gescheiden systeem maar het is een heel stuk moeilijker te kraken.
Bij het stuxnet virus wisten de makers exact wat het virus moest doen op het moment dat het zijn doel pc bereikt had. Dit moest ook wel want de besmette pc kon niet naar huis bellen om nieuwe instructies op te halen of data terug te sturen. Een aan internet gekoppelde pc moest besmet worden, een media drager besmetten, deze moest in de niet gekoppelde pc gestoken worden. En daarna moest deze PC een PLC herprogrammeren.
Bij de RSA hackers werd er een mail verstuurd naar de juiste werknemer, de werknemer opent hem en de hackers konden rustig uitzoeken wat ze precies wilden hebben.
Als de verbinding tot stand komt door een mediadrager tussen twee pc's heen en weer aan te sluiten heb je een kortstondige verbinding.
Het systeem is nog steeds niet waterdicht bij een gescheiden systeem maar het is een heel stuk moeilijker te kraken.
Bij het stuxnet virus wisten de makers exact wat het virus moest doen op het moment dat het zijn doel pc bereikt had. Dit moest ook wel want de besmette pc kon niet naar huis bellen om nieuwe instructies op te halen of data terug te sturen. Een aan internet gekoppelde pc moest besmet worden, een media drager besmetten, deze moest in de niet gekoppelde pc gestoken worden. En daarna moest deze PC een PLC herprogrammeren.
Bij de RSA hackers werd er een mail verstuurd naar de juiste werknemer, de werknemer opent hem en de hackers konden rustig uitzoeken wat ze precies wilden hebben.
Inderdaad was er een "fysieke link" als je het strict wilt bekijken, maar die zal er altijd zijn: een systeem zonder interactie met de buitenwereld (en buitenwereld kan een groep selecte mensen zijn, het hele internet, ...) is compleet zinloos; dan kan je net zo goed je informatie vernietigen want dan heb je er even veel aan.
Je kan misschien wel denken dat sommige systemen kunnen werken met beperkte input (bv. controlepaneel met knopjes op), maar daarachter gaan ook computers, PLCs, ... schuil. We leven in een tijdperk waarin we met zo veel informatie werken, dat het gewoon niet meer mogelijk is om elke informatiestroom compleet te controleren. De werking van bv. die centrifuges in Iran, kan je misschien nog wel met de hand een beetje bijstellen, maar waarschijnlijk zal er toch zo veel in te stellen zijn, dat het praktisch (ergonomisch en economisch) enkel via digitale dragers kan en dan heb je daar nu eenmaal de risico's van.
Je zal altijd wel een medewerker nodig hebben die aan het systeem kan, je zal dus ook steeds een fysieke link hebben; daarom dus: "fysiek gescheiden is leuk in theorie".
Je kan misschien wel denken dat sommige systemen kunnen werken met beperkte input (bv. controlepaneel met knopjes op), maar daarachter gaan ook computers, PLCs, ... schuil. We leven in een tijdperk waarin we met zo veel informatie werken, dat het gewoon niet meer mogelijk is om elke informatiestroom compleet te controleren. De werking van bv. die centrifuges in Iran, kan je misschien nog wel met de hand een beetje bijstellen, maar waarschijnlijk zal er toch zo veel in te stellen zijn, dat het praktisch (ergonomisch en economisch) enkel via digitale dragers kan en dan heb je daar nu eenmaal de risico's van.
Je zal altijd wel een medewerker nodig hebben die aan het systeem kan, je zal dus ook steeds een fysieke link hebben; daarom dus: "fysiek gescheiden is leuk in theorie".
Dat is het nooit geweest. Dat is precies de reden waarom je besturingssysteem zo veilig mogelijk moeten zijn, en is de reden waarom potentieel onveilige zaken standaard UIT moeten staan. In Windows staan veel zaken standaard onterecht AAN. Daar bovenop komt gewoon het feit dat Windows gewoon zo lek is als een mandje. Bij Windows moet je grote moeite doen om 't enigszins veilig te krijgen; bij Linux moet je grote moeite doen om 't enigszins ONveilig te krijgen....dat het gewoon niet meer mogelijk is om elke informatiestroom compleet te controleren.
Het bedrijfsleven moet eerst maar eens over naar andere besturingssystemen, dan zien we wel verder. Dan is vast al gelijk 99% van alle computerveiligheidsproblemen al automatisch opgelost.
Even afgezien van of dat hier ook gewenst was, heb ik wel een algemeen antwoord: het verhoogt de efficiëntie en productie enorm, als alles gekoppeld is. Veiligheid is daarbij gewoon een onbedoeld slachtoffer. Als je NIET alles aan elkaar koppelt, zullen andere partijen je links en rechts inhalen en ga je failliet. Ongetwijfeld zal dit niet voor alle bedrijven/bedrijfstakken gelden, maar toch wel bij de grote meerderheid.Ik verbaas me enorm dat deze systemen niet fysiek gescheiden zijn. Waarom zou een leverancier van dit formaat niet zijn geheimen afschermen van het internet???
Kortom: dit is een gevolg van normale evolutie: bedrijven die niet alles aan elkaar gekoppeld hebben, zijn minder efficiënt en overleven gewoon de concurrentie niet.
Natuurlijk lijken ze te winnen!
Dit soort berichten hebben veel meer impact dan "vier mannen gearresteerd op verdenking van hacken". Bovendien hoor je er helemaal niets van als het ze niet lukt!
Je hoort dus alleen de "gewonnen strijden" (om even in jouw vergelijking te blijven), de verliezen blijven onbekend.
Dit soort berichten hebben veel meer impact dan "vier mannen gearresteerd op verdenking van hacken". Bovendien hoor je er helemaal niets van als het ze niet lukt!
Je hoort dus alleen de "gewonnen strijden" (om even in jouw vergelijking te blijven), de verliezen blijven onbekend.
DE VRAAG is natuurlijk:
Kunnen de 250 miljoen RSA-token gebruikers er nog vanuit gaan dat ze goed beveiligd zijn?
Kunnen de 250 miljoen RSA-token gebruikers er nog vanuit gaan dat ze goed beveiligd zijn?
Ja inderdaad en dat antwoord op die vraag hangt weer af van:
- Hoeveel informatie hebben ze buitgemaakt.
- Is deze informatie toe te passen op élke RSA token, of maar een bepaald type? (vasco biedt er volgens mij tig aan namelijk..)
Mochten ze alles van alle tokens weten, dan kan je je lol niet op, dat wordt een leuke grap voor de security bedrijven en de it afdelingen van bedrijven - die tokens gebruiken.
leuke = ook duur uiteraard.
@t k1n8fisher, zoals ik zei er zijn 'verschillende tokens' maar de meeste maken als het goed is gebruik van de 'RSA - security techniek'
- Hoeveel informatie hebben ze buitgemaakt.
- Is deze informatie toe te passen op élke RSA token, of maar een bepaald type? (vasco biedt er volgens mij tig aan namelijk..)
Mochten ze alles van alle tokens weten, dan kan je je lol niet op, dat wordt een leuke grap voor de security bedrijven en de it afdelingen van bedrijven - die tokens gebruiken.
leuke = ook duur uiteraard.
@t k1n8fisher, zoals ik zei er zijn 'verschillende tokens' maar de meeste maken als het goed is gebruik van de 'RSA - security techniek'
[Reactie gewijzigd door 3DDude op 3 april 2011 23:03]
Hoe weet je dat het token dat je gebruikt een RSA token is?
Wij gebruiken bij mij op het werk ook zgn e-tokens maar komen die dan van RSA af via een omweg of komen die ergens anders vandaan? Hoe kan je daar nu achter komen?
Wij gebruiken bij mij op het werk ook zgn e-tokens maar komen die dan van RSA af via een omweg of komen die ergens anders vandaan? Hoe kan je daar nu achter komen?
Wat staat er dan op jouw token? Bij mijn token staat er gewoon RSA op...
Daarnaast is er zo veel extra informatie nodig. Een token is gerelateerd aan een gebruiker. Dus je moet weten welke token bij welke gebruiker hoort om een bijbehorende token id te genereren.
Precies, tokencode is een ding dan mis je nog twee dingen nl. een eigen verzonnen pincode en je gebruikersnaam. Ik denk daarom niet dat het zo'n vaart zal lopen. Het is zuur dat men straks het algoritme kan achterhalen o.i.d. maar dan mis je nog steeds cruciale info.
Als ik bij mijn werkgever inlog, moet ik username+pincode+tokencode invullen om vervolgens nog mijn AD wachtwoordt in de portaal in te loggen, én dan is het ook nog eens noodzaak dat je de url van onze vpn portaal weet, dus deze zogenaamde hackers hebben nog een lange weg te gaan, want op basis van een tokencode alleen kom je nog niet overal binnen.
miss. bij vodafone wel, daar zijn alle pincodes 3333
Als ik bij mijn werkgever inlog, moet ik username+pincode+tokencode invullen om vervolgens nog mijn AD wachtwoordt in de portaal in te loggen, én dan is het ook nog eens noodzaak dat je de url van onze vpn portaal weet, dus deze zogenaamde hackers hebben nog een lange weg te gaan, want op basis van een tokencode alleen kom je nog niet overal binnen.
miss. bij vodafone wel, daar zijn alle pincodes 3333
[Reactie gewijzigd door loewie1984 op 4 april 2011 08:34]
Vraag me af waarom ze die servers waar de kritische files op staan niet via een apart netwerk gebruiken dat niet verbonden staat met internet en ook nooit is geweest. Kan er ook niets gestolen worden.
Waarschijnlijk zijn die niet met het internet verbonden, maar kan er wel vanaf het interne netwerk mee geconnecteerd worden. Als ze dan de juiste werknemer zijn VPN-login bemachtigen, kunnen ze overal aan.
en daar zit nou juist het probleem. dat had nou juist helemaal niet gemogen. zoiets hoor je gewoon in twee aparte systemen te verwerken. een computer met internetverbinding mag absoluut niet in het interne netwerk opgenomen worden. het is namelijk onmogelijk om die software en hardware matig geheel te beveiligen. zie het resultaat.
vergelijk het met een winkelcentrum. de winkels vormen het interne netwerk. die hebben heel vaak een semi gedeeld magazijn (één gang meerdere deuren). het winkelcentrum is natuurlijk open voor publiek, maar in de winkels zijn goed beveiligde ingangen naar het magazijn waar soms meerder winkels dingen opslaan. (net al RSA-token gebeuren. meerdere bedrijven met hetzelfde principe) weet jij in een van die winkels te komen na sluitingstijd en heb jij de toegangscode dan kan je geheel je gang gaan en alles leegroven wat er is.
bij een winkel is het natuurlijk niet efficiënt om het magazijn niet vanuit de winkel bereikbaar te maken, maar zolang er dus geen software matige toegang mogelijk is (in dit geval de inlog code van de VPN naar ik aanneem) is er dus alleen hardware matige/fysieke toegang mogelijk doormiddel van een speciale sleutel die alleen een werknemer heeft (FBI systeem in de film shooter). neemt de mogelijkheid tot een overval na sluitingstijd af naar nul procent. het is immers onmogelijk om binnen te komen zonder sleutel.
en zoals hieronder wordt opgemerkt is het ook stom om met verouderde, niet gepatchete software te werken in zulke omgevingen (veel bedrijfskritische web-apps werken bijvoorbeeld alleen in internet explorer 6 en zoals we weten is dat zo lek als een vergiet.)
vergelijk het met een winkelcentrum. de winkels vormen het interne netwerk. die hebben heel vaak een semi gedeeld magazijn (één gang meerdere deuren). het winkelcentrum is natuurlijk open voor publiek, maar in de winkels zijn goed beveiligde ingangen naar het magazijn waar soms meerder winkels dingen opslaan. (net al RSA-token gebeuren. meerdere bedrijven met hetzelfde principe) weet jij in een van die winkels te komen na sluitingstijd en heb jij de toegangscode dan kan je geheel je gang gaan en alles leegroven wat er is.
bij een winkel is het natuurlijk niet efficiënt om het magazijn niet vanuit de winkel bereikbaar te maken, maar zolang er dus geen software matige toegang mogelijk is (in dit geval de inlog code van de VPN naar ik aanneem) is er dus alleen hardware matige/fysieke toegang mogelijk doormiddel van een speciale sleutel die alleen een werknemer heeft (FBI systeem in de film shooter). neemt de mogelijkheid tot een overval na sluitingstijd af naar nul procent. het is immers onmogelijk om binnen te komen zonder sleutel.
en zoals hieronder wordt opgemerkt is het ook stom om met verouderde, niet gepatchete software te werken in zulke omgevingen (veel bedrijfskritische web-apps werken bijvoorbeeld alleen in internet explorer 6 en zoals we weten is dat zo lek als een vergiet.)
Goed werk Captain Hindsight.
zelfs het nederlanse leger heeft internet via een terminal window gescheiden van het intranet....
om nou te zeggen dat de nederlanse overheid nou zo goed is met het veiligstellen van data durf ik wel te stellen dat het een grote IT miser is...
om nou te zeggen dat de nederlanse overheid nou zo goed is met het veiligstellen van data durf ik wel te stellen dat het een grote IT miser is...
Het lijkt erop dat jij terzake analyses niet erg op prijs stelt (ik meen enige ironie te proeven in jouw reactie).
Gelukkig werken de meeste beveiligers wel met dit soort analyses, zodat ze de volgende keer vooraf kunnen spotten waar het misgaat en hoe dat te voorkomen.
En behalve dat: beveiliging is een "state of mind". Ik denk dat supersnathan94 daar (ongeacht of zijn verhaal nou wel of niet helemaal klopt, daar kan je INHOUDELIJK natuurlijk altijd over in discussie gaan) veel dichter bij in de buurt zit dan mensen die nietszeggende opmerkingen zoals de jouwe maken zonder ook maar even door te denken over wat er aan de hand is.
Gelukkig werken de meeste beveiligers wel met dit soort analyses, zodat ze de volgende keer vooraf kunnen spotten waar het misgaat en hoe dat te voorkomen.
En behalve dat: beveiliging is een "state of mind". Ik denk dat supersnathan94 daar (ongeacht of zijn verhaal nou wel of niet helemaal klopt, daar kan je INHOUDELIJK natuurlijk altijd over in discussie gaan) veel dichter bij in de buurt zit dan mensen die nietszeggende opmerkingen zoals de jouwe maken zonder ook maar even door te denken over wat er aan de hand is.
[Reactie gewijzigd door mae-t.net op 3 april 2011 19:50]
DrPoncho doelt met Captain Hindsight op een southpark held die totaal overbodig is door punten te noemen die er nu niet meer toe doen:
http://www.southparkstudi...ess-you-captain-hindsight
Je ironie is spot-on
and god bless you captain hindsight!
http://www.southparkstudi...ess-you-captain-hindsight
Je ironie is spot-on
and god bless you captain hindsight!
Dank voor je uitleg, die bevestigt dat DrPoncho waarschijnlijk ironisch sprak over Captain Hindsight.
Onbedoeld ga je met je laatste opmerking inhoudelijk een discussie aan die er nu niet meer toe doet (hoe ironisch). Als je het eens bent met DrPoncho zou het een stuk constructiever zijn om met argumenten te komen die inhoudelijk op mijn reactie op hem ingaan.
Slechts bevestigen dat je het met iemand eens bent terwijl je net een uitleg hebt gelezen waarom hij wel eens ongelijk zou kunnen hebben, is niet erg verheffend.
Een of ander flauw grapje over Captain Gemiste-Kans zou op zijn plaats kunnen zijn
Onbedoeld ga je met je laatste opmerking inhoudelijk een discussie aan die er nu niet meer toe doet (hoe ironisch). Als je het eens bent met DrPoncho zou het een stuk constructiever zijn om met argumenten te komen die inhoudelijk op mijn reactie op hem ingaan.
Slechts bevestigen dat je het met iemand eens bent terwijl je net een uitleg hebt gelezen waarom hij wel eens ongelijk zou kunnen hebben, is niet erg verheffend.
Een of ander flauw grapje over Captain Gemiste-Kans zou op zijn plaats kunnen zijn
[Reactie gewijzigd door mae-t.net op 5 april 2011 00:11]
Hoe wil je in vredesnaam iets patchen als 't om een zero-day lek gaat? Er is dan nog helemaal geen patch beschikbaar! Conclusie: Windows en Office en Flash helemaal de deur uit. Die drieën hebben samengewerkt in dit complot. Alle drie zijn schuldig. Alle drie zwaar straffen: minimaal 5 jaar de deur uit. Dan evt. eens weer kijken of ze hun leven gebeterd hebben (lijkt me sterk: het recidive-gehalte bij deze delinquenten is onvoorstelbaar hoog). Heb je dan minder functionaliteit? Jammer dan. Veiligheid gaat boven functionaliteit en winst. Herstel: ZOU veiligheid zou boven functionaliteit en winst moeten gaan. Helaas is de praktijk omgekeerd.en zoals hieronder wordt opgemerkt is het ook stom om met verouderde, niet gepatchete software te werken in zulke omgevingen
En intussen een bewezen veiliger alternatief nemen: Linux.
Natuurlijk was die meneer die dat Excel-bestandje opende waarschijnlijk ook niet helemaal wakker, maar dat is echt vantevoren bekend: mensen zullen altijd menselijk zijn (lees: ze zullen altijd (beoordelings)fouten maken). Dus gooi de zaak dicht waar het wel dicht (of i.i.g. dichter) kan: met je besturingssysteem en applicaties. Zoveel mogelijk Open Source, dan weet je zeker dat willekeurige deskundigen er onveilige zaken in kunnen vinden (dus zal de programmeur sowieso al beter zijn best doen).
[Reactie gewijzigd door kimborntobewild op 4 april 2011 11:59]
De werking/algorithme kan dan wel verkregen zijn, maar de sleutel(s) zullen wellicht via een beveiligde verbinding op een aparte server staan. (hoop ik)
De sleutel kraken a.d.h.v. het algorithme zou nog lange tijd kunnen duren.
De sleutel kraken a.d.h.v. het algorithme zou nog lange tijd kunnen duren.
Misschien moeten ze wel in verbinding staan met internet om een API werkend/toegankelijk te houden?
Alleen sleuteltjes verzenden, daar heb je niet zoveel aan... je wil ze ook controleerbaar maken.
@Keyser (hierboven); theoretisch ben je nog steeds veilig, alleen ietsje minder. Vergelijk het maar met die kraak van de ING waarbij TAN codes omzeild worden;
- er is iets gekraakt
- je bent wat minder veilig
- er wordt niet massaal geplunderd, want ze moeten eerst nog je ww hebben.
Hierbij net zo; praktisch niemand zal puur met RSA codes zijn systeem beveiligen; je zet d'r altijd nog een wachtwoord bij.
@supersnathan94 ; ja, ja, ja, en in jouw ideale wereld zijn alle algoritmes onkraakbaar, hebben mensen wachtwoorden van 30 tekens, en weet de politie hackers echt te pakken...
You're not in Kansas anymore, Dorothy
Alleen sleuteltjes verzenden, daar heb je niet zoveel aan... je wil ze ook controleerbaar maken.
@Keyser (hierboven); theoretisch ben je nog steeds veilig, alleen ietsje minder. Vergelijk het maar met die kraak van de ING waarbij TAN codes omzeild worden;
- er is iets gekraakt
- je bent wat minder veilig
- er wordt niet massaal geplunderd, want ze moeten eerst nog je ww hebben.
Hierbij net zo; praktisch niemand zal puur met RSA codes zijn systeem beveiligen; je zet d'r altijd nog een wachtwoord bij.
@supersnathan94 ; ja, ja, ja, en in jouw ideale wereld zijn alle algoritmes onkraakbaar, hebben mensen wachtwoorden van 30 tekens, en weet de politie hackers echt te pakken...
You're not in Kansas anymore, Dorothy
nee dat laatste sowieso niet, want dan hadden ze ze nu wel gehad. wat ik probeer te zeggen is dus dat die wachtwoorden idd onveilig zijn en je dus beter een hardwarematig en software matig gesloten systeem kan hebben. dus niet een UTP kabeltje naar de werk computer van de secretaresse o.i.d. als alle pc's in hetzelfde netwerk zitten als de servers met de keygegevens enzo (1 intranet) en die computers hebben dus verbinding met het net dan loopt je intranet een groot risico dat het met iets simpels als een geïnfecteerd excell bestandje platgelegd en leeggetrokke word. precies wat hier dus gebeurd is. heb je twee gescheiden systemen dan kan je dat beter controleren, want je kan niet remote inloggen (VPN o.i.d) het intranet met de servers heeft geen internetverbinding namelijk.@supersnathan94 ; ja, ja, ja, en in jouw ideale wereld zijn alle algoritmes onkraakbaar, hebben mensen wachtwoorden van 30 tekens, en weet de politie hackers echt te pakken...
You're not in Kansas anymore, Dorothy
wat jij zegt is idd mijn ideale wereld ja, maar zoals je zelf zegt it's not going to happen. voorzorgsmaatregelen als een gescheiden systeem helpen alleen wel al een stuk de goede richting in.
Hoeveel omgevingen kent ge nog waar 1 afgeschermde pc staat die niet op het netwerk hangt, waar je met een USB stick naar toe loopt om gegevens te halen en ze dan te verwerken? wss geen omdat dit geen manier van werken is, tegenwoordig gaat alles via VLAN, DMZ, honeypot, firewalling, ... en als dat in orde was geweest dan wisten de hackers gewoon goed waar ze mee bezig waren door de juiste personen aan te spreken en kan je verwachten dat er al wat social engineering aan te pas is gekomen voor de emails verstuurd werden. Bedrijven zijn echt niet allemaal zo stom als je denkt!
op mijn school gebruiken de leraren enkel de code van hun RSA token als wachtwoord.....
Dan zie je in grotere organisaties dat mensen manieren gaan vinden om informatie tussen dat soort netwerken en de internet geconnecteerde netwerken gaan uitwisselen.
Vaak zijn dat soort afgeschermde netwerken ook nog extra gevoelig omdat er vaak met oude, niet gepatchte programma's wordt gewerkt.
Ik denk dat zelfs als het nu mogelijk is voor de hackers om de code te generen die bij een token op het scherm komt te staan ,ze ook de gateway IP, userid, serial van het token moeten hebben, en ook de pin die optioneel voor de code wordt gezet.
Als ze die moeite moeten doen kunnen ze ook iemand zijn token afpakken en hem/haar onder druk de credentials te laten overhandigen.
Vaak zijn dat soort afgeschermde netwerken ook nog extra gevoelig omdat er vaak met oude, niet gepatchte programma's wordt gewerkt.
Ik denk dat zelfs als het nu mogelijk is voor de hackers om de code te generen die bij een token op het scherm komt te staan ,ze ook de gateway IP, userid, serial van het token moeten hebben, en ook de pin die optioneel voor de code wordt gezet.
Als ze die moeite moeten doen kunnen ze ook iemand zijn token afpakken en hem/haar onder druk de credentials te laten overhandigen.
dat is een grote vergissing die je daar maakt.
iemands token afhandig maken en eventueel zelfs bedreigen e.d. kan welhaast niet ongemerkt gedaan worden.
als je hiermee binnen komt kan dat heel lang ongemerkt gaan; dat kan vele malen meer schade aanrichten!
iemands token afhandig maken en eventueel zelfs bedreigen e.d. kan welhaast niet ongemerkt gedaan worden.
als je hiermee binnen komt kan dat heel lang ongemerkt gaan; dat kan vele malen meer schade aanrichten!
Is het wel juist om over hackers te praten?. Naar mijn weten gaat het hier om crackers: mensen die inbreken in computerssytemen om schade aan te richten en/of informatie te stelen. Hackers zijn juist de mensen die alleen misstanden in de beveiliging in de kaart brengen zonder slechte bedoelingen (en natuurlijk zijn hackers in eerste instantie schrijvers van programmatuur).
Juist een techwebsite als T.net zou deze termen juist moeten gebruiken. Maar dat is mijn gedachtegang
Juist een techwebsite als T.net zou deze termen juist moeten gebruiken. Maar dat is mijn gedachtegang
hackers omdat ze inbreken, crackers zorgen ervoor dat de aangetroffen security omzeild kan worden. Het is vaak een combinatie van beide "functies" die ervoor zorgt dat een aanval succesvol is.
dit is een zeer goed voorbereide aanval die uitgaat van zeer concrete bedrijfskennis in combinatie met kennis over onbekende beveiligingslekken. Het is afwachten of de groep nog van zich laat horen, al is het maar door de methode waarop de aanval is uitgevoerd
dit is een zeer goed voorbereide aanval die uitgaat van zeer concrete bedrijfskennis in combinatie met kennis over onbekende beveiligingslekken. Het is afwachten of de groep nog van zich laat horen, al is het maar door de methode waarop de aanval is uitgevoerd
laat me raden... je bent een hacker en wilt niet in een kwaad daglicht gesteld worden.
Ja, maar zo gek is dat toch niet? Plus hij heeft groot gelijk; t.net zou beter moeten weten. Het zit bijna in de naam! Tweaken = Hacken.
Daarom maken ze dus ook onderscheid tussen white hat hackers en black hat hackers Waar white hat hackers geen slechte bedoelingen hebben en helpen het bedrijf beter te beveiligen waar natuurlijk black hat hackers slechte intenties hebben en het doen om informatie te ontfrutselen (zoals in het artikel)
Waar white hat hackers geen slechte bedoelingen hebben en helpen het bedrijf beter te beveiligen waar natuurlijk black hat hackers slechte intenties hebben en het doen om informatie te ontfrutselen (zoals in het artikel)
Het wordt pas ingewikkeld als er hackers ingezet worden door derden. Ik heb al jaren een boek in de kast staan: Spionage per computer/Hackers voor Moskou. Dat waren gasten die met veredelde homecomputers waardevolle militaire en wetenschappelijke informatie voor de KGB verzamelden. Ze konden er 'redelijk' mee verdienen dus wel degelijk misdadige hackers als je het mij vraagt.
Maar taalkundig klopt er volgens mij iets niet aan die regel voor het toepassen van het woord hacker of cracker. Of iemand wel of geen kwade bedoelingen heeft is een nogal uitgebreide kwestie. Je laat dan de woordkeuze afhangen van informatie die je niet hebt of mogelijk onwaar is.
Maar taalkundig klopt er volgens mij iets niet aan die regel voor het toepassen van het woord hacker of cracker. Of iemand wel of geen kwade bedoelingen heeft is een nogal uitgebreide kwestie. Je laat dan de woordkeuze afhangen van informatie die je niet hebt of mogelijk onwaar is.
[Reactie gewijzigd door blorf op 3 april 2011 20:07]
Dat is een zelfde soort discussie als vrijheidsstrijder vs terrorist. Het is maar net hoe je er tegen aan kijkt.
Volgens mij is de 'bad guys zijn crackers, good guys zijn hackers' strijd sowieso een beetje verloren.
White hat / Black hat is wat haalbaarder om 'de massa' nog te leren.
Volgens mij is de 'bad guys zijn crackers, good guys zijn hackers' strijd sowieso een beetje verloren.
White hat / Black hat is wat haalbaarder om 'de massa' nog te leren.
...cracker?
De term computercriminelen is waarschijnlijk beter op z'n plaats. Wat ooit hacken genoemd werd is inmiddels door criminelen (en spionage organisaties?) uitgebouwd tot een zaak waar veel geld in om gaat.
En voor de werknemer die phishin-mailtjes opent: U bent de zwakste schakel, tot ziens.
Het blijft toch zo dat de zwakste plek in iedere beveiliging de gebruiker is.
Het blijft toch zo dat de zwakste plek in iedere beveiliging de gebruiker is.
Als ik het goed begrijp is het dus mogelijk om de tokens van alle betalende klanten te laten verlopen, vervolgens het algoritme achter de generator aan te passen en iedere klant een nieuwe token te geven. RSA kan daardoor de eventuele problemen die hier uit volgen centraal voor alle klanten afhandelen. Op deze manier zou je de IT/security afdeling van bedrijven die gebruik maken van deze vorm van authentificatie ontlasten met het oplossen van de potentiële beveiligingslekken.It is also possible to resync a token manually in the RSA Authentication Manager. Providing authentication tokens to everyone who might need to access a resource can be expensive (about $15 per year + licencing costs), particularly since tokens are programmed to "expire" at a fixed time, usually three years, requiring purchase of a new token.
Trouwens ook een mooie uiting van een stel Russen die een emulator hebben gemaakt voor SecurID's:
To the folks at RSA: if you need help with designing secure encryption algorithms and protocols, let us know, we'll help you out. We're not all bears here in Russia. We play chess better than you, remember?
[Reactie gewijzigd door databit op 3 april 2011 17:18]
Dus met dank aan de zwakste schakel - de mens die in een phishing mailtje trapt- is gebruik gemaakt van de slecht beveiligde Flash software.
De vraag is of het er toe doet of iemand het nummering-mechanisme van een RSA token heeft achterhaalt, want veel is afhankelijk van de installatie van de bijbehorende RSA software + andere login credentials die aan Adir of E-dir gekoppeld is.
Bij ons op het bedrijf is bewust gebruik gemaakt van beveiligers die de 'awareness' flink uittestten via e-mail (en link naar nagebouwde bedrijfswebmail), via telefoontjes en via de receptie. Er is altijd iemand die argwaan krijgt waardoor de rest gelukkig op tijd op de hoogte wordt gesteld. Dat was de les. Het viel dus reuze mee.
Zouden ze bij RSA (en andere concellega's) ook eens moeten doen.
De vraag is of het er toe doet of iemand het nummering-mechanisme van een RSA token heeft achterhaalt, want veel is afhankelijk van de installatie van de bijbehorende RSA software + andere login credentials die aan Adir of E-dir gekoppeld is.
Bij ons op het bedrijf is bewust gebruik gemaakt van beveiligers die de 'awareness' flink uittestten via e-mail (en link naar nagebouwde bedrijfswebmail), via telefoontjes en via de receptie. Er is altijd iemand die argwaan krijgt waardoor de rest gelukkig op tijd op de hoogte wordt gesteld. Dat was de les. Het viel dus reuze mee.
Zouden ze bij RSA (en andere concellega's) ook eens moeten doen.
De zwakste schakel was hier een niet gepatched systeem of het niet gebruiken van een gescheiden systeem voor de high security data.
De mens is maar een klein schakeltje van fouten.
De mens is maar een klein schakeltje van fouten.
De mens is als altijd de grootste schakel. Daarom wordt er een heel blik mensen op gezet om deze schakel sterker te maken.
Zoals hierboven ook wordt opgemerkt, hoeveel PC's weet jij te vinden waarop je de data alleen op het beeldscherm dat met deze pc verbonden is kan bekijken.
En of het een gepatched systeem was of niet had ook niet heel veel uitgemaakt. Zoals te lezen gebruikten de hackers een zero-day gaatje (waar dus nog geen patch voor was).
En daarbij als deze beveiliging afhankelijk is van het geheimhouden van een algoritme en alleen daarvan was het al een slechte beveiliging. Dat zou betekenen dat iedere persoon die ooit toegang heeft gehad tot de pc waar deze code op stond al de mogelijkheden had het systeem te kraken. (Al dan niet nog steeds werkzaam voor het bedrijf).
Zoals hierboven ook wordt opgemerkt, hoeveel PC's weet jij te vinden waarop je de data alleen op het beeldscherm dat met deze pc verbonden is kan bekijken.
En of het een gepatched systeem was of niet had ook niet heel veel uitgemaakt. Zoals te lezen gebruikten de hackers een zero-day gaatje (waar dus nog geen patch voor was).
En daarbij als deze beveiliging afhankelijk is van het geheimhouden van een algoritme en alleen daarvan was het al een slechte beveiliging. Dat zou betekenen dat iedere persoon die ooit toegang heeft gehad tot de pc waar deze code op stond al de mogelijkheden had het systeem te kraken. (Al dan niet nog steeds werkzaam voor het bedrijf).
Ik ben het deels met AxZzel eens. Het neigt inderdaad naar criminaliteit maar het mag toch niet zo zijn dat een firma als RSA op zo een schijnbaar betrekkelijk eenvoudige wijze de kroonjuwelen van het bedrijf prijsgeeft. Honderdduizenden zo niet miljoenen bedrijven hebben hun toegangsbeveiliging gebaseerd op RSA tokens. Dit kon wel eens het einde van RSA (EMC) betekenen. Wat een blunder!
' ..phishing mailtje trapt- is gebruik gemaakt van de slecht beveiligde Flash software. '
nee, er is gebruik gemaakt van een zero day-beveiligingsgat .. hoeveel beveiligingsgaten zijn al jaren bruikbaar ? ..
de mens is idd de zwakste schakel .. mooie test was toch wel een handje geprpareerde usb sticks op een parkeerterrein van een bekend bedrijf strooien.. 6 van de 10 werden binnen een uur in het systeem geprikt.
nee, er is gebruik gemaakt van een zero day-beveiligingsgat .. hoeveel beveiligingsgaten zijn al jaren bruikbaar ? ..
de mens is idd de zwakste schakel .. mooie test was toch wel een handje geprpareerde usb sticks op een parkeerterrein van een bekend bedrijf strooien.. 6 van de 10 werden binnen een uur in het systeem geprikt.
Op dit item kan niet meer gereageerd worden.
Populair: Tablets E3 2013 Mobiele telefoons Google Sony Apple Microsoft Games Politiek en recht Consoles
© 1998 - 2013 Tweakers.net B.V. onderdeel van De Persgroep, ook uitgever van Computable.nl, Autotrack.nl en Carsom.nl • Hosting door True
