Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 94 reacties

De hackers die informatie over de werking van sleutelgenerators hebben buitgemaakt bij de beveiligingsfirma RSA Security, wisten met behulp van een eenvoudige phishing-mail toegang te krijgen tot het bedrijfsnetwerk.

Hoe de aanval op RSA Security precies was uitgevoerd, was tot nu toe nog onduidelijk. Inmiddels heeft het beveiligingsbedrijf meer inzicht gegeven in de methodiek die de hackers gebruikt zouden hebben. Allereerst zou naar een selecte groep werknemers van RSA een phishing-mail verstuurd zijn waaraan een met malware besmette Excel-file was toegevoegd. Een van de werknemers zou de mail met als onderwerp '2011 recruitment plan' hebben geopend, waarna op zijn systeem via een zero day-beveiligingsgat in Adobe Flash een achterdeurtje geïnstalleerd kon worden.

Met behulp van de malware wisten de hackers toegang te krijgen tot het bedrijfsnetwerk van RSA, mede door het bemachtigen van de inloggegevens van de RSA-werknemer op het gekraakte systeem. Tenslotte wisten de hackers gevoelige bedrijfsgegevens naar buiten te smokkelen, waaronder informatie over de werking van SecurID-sleutelgenerators.

Wie de hackers precies zijn, is nog onbekend. Zij zouden tijdens de aanvallen op de RSA-systemen vrijwel geen sporen hebben achtergelaten, al zou een door de hackers gebruikte domeinnaam naar China verwijzen. Dit wil echter niet zeggen dat zij daadwerkelijk vanuit dit land opereerden.

RSA Security SecurID

Reacties (94)

Reactiefilter:-194090+153+23+30
Moderatie-faq Wijzig weergave
It is also possible to resync a token manually in the RSA Authentication Manager. Providing authentication tokens to everyone who might need to access a resource can be expensive (about $15 per year + licencing costs), particularly since tokens are programmed to "expire" at a fixed time, usually three years, requiring purchase of a new token.
Als ik het goed begrijp is het dus mogelijk om de tokens van alle betalende klanten te laten verlopen, vervolgens het algoritme achter de generator aan te passen en iedere klant een nieuwe token te geven. RSA kan daardoor de eventuele problemen die hier uit volgen centraal voor alle klanten afhandelen. Op deze manier zou je de IT/security afdeling van bedrijven die gebruik maken van deze vorm van authentificatie ontlasten met het oplossen van de potentiŽle beveiligingslekken.

Trouwens ook een mooie uiting van een stel Russen die een emulator hebben gemaakt voor SecurID's:
To the folks at RSA: if you need help with designing secure encryption algorithms and protocols, let us know, we'll help you out. We're not all bears here in Russia. We play chess better than you, remember?

[Reactie gewijzigd door databit op 3 april 2011 17:18]

Wat is zwakste punt van de security bedrijf?
1. De mens. Goed verleiden is de kunst. Dan trapt de mens erin en is zijn systeem besmet.
2. Slecht gepatched systeem. Door luiheid van de mens of systeembeheerder worden de gaten niet snel genoeg gedicht. Een mens vertrouwt teveel OMDAT hij in securitybedrijf zit dat zijn computer goed beveilgd is.
3. Slechte virusscanner op server waar emailserver staat.

Heeft security bedrijf geen protocol om GEEN emails te openen met attachment erin? Ook niet als het van onbekend bedrijf ineens een email krijgt, en als het van Microsoft af komt, kijk je toch wel in de email headers waar het precies vandaan komt?
Zolang je niet weet waarom er attachment bij zit open je 'm gewoon niet. De afzender moet eerst reageren waar de attachment voor dient. Zodra je meer van weet wat het is na wat emailen met afzender, dan weet je dat bron betrouwbaar is en kun je verdergaan.

Komt er geen antwoord van die kant of die weet van niks, weet je gelijk dat het foute zaak is. Simpele stappen doen voorkomt ellende: natrekken!

Hoe is die excel bestand dus doorgekomen? Heeft de server geen goede virusscanner?
Systeembeheerder vergeet ook nog server uptodate te houden?
Wat een rare bedrijf. Securitybedrijf die niet eens op eigen vingers kan letten?

Algemeen feit blijft altijd: de mens is eerste probleem. Niet de de gepatched systeem. Een goedoplettende werknemer weet dat er iets niet klopt en verwijdert de email. De virusscanner ben JIJ dus ook zelf. Met je eigen ogen controleer je email headers en trek je de afkomst na. En als je excel eerst opslaat (niet openen dus) en vervolgens door hex editor haal voor vreemde codes in excel ben je ook goed mee bezig. Hernoemen excel.xls naar excel.xls.txt zal anders ingelezen worden, dus in notepad.

Maar inderdaad, nieuwste Excel en Word doen dat in xlsx en docx formaat en daar zitten dus makkelijk rommel bij. Eerst uitpakken en checken wat er erbij zit.

Als je niet zeker bent, kun je nog altijd netwerkkabel eruit trekken en netwerkscanner / autoruns / process explorer opzetten. Je computer is dan standalone en kan er niks misgaan. Je opent de programma dan gewoon en kijkt in process explorer of er vreemde services niet bijkomen. Zo weet je ook gelijk dat er wat loos is. En omdat netwerk eruit is, is nog steeds safe en kan je probleem zonder verdere gevaar elimineren. Er lekt namelijk niks meer eruit.
Vraag me af waarom ze die servers waar de kritische files op staan niet via een apart netwerk gebruiken dat niet verbonden staat met internet en ook nooit is geweest. Kan er ook niets gestolen worden.
Misschien moeten ze wel in verbinding staan met internet om een API werkend/toegankelijk te houden?

Alleen sleuteltjes verzenden, daar heb je niet zoveel aan... je wil ze ook controleerbaar maken.


@Keyser (hierboven); theoretisch ben je nog steeds veilig, alleen ietsje minder. Vergelijk het maar met die kraak van de ING waarbij TAN codes omzeild worden;
- er is iets gekraakt
- je bent wat minder veilig
- er wordt niet massaal geplunderd, want ze moeten eerst nog je ww hebben.
Hierbij net zo; praktisch niemand zal puur met RSA codes zijn systeem beveiligen; je zet d'r altijd nog een wachtwoord bij.


@supersnathan94 ; ja, ja, ja, en in jouw ideale wereld zijn alle algoritmes onkraakbaar, hebben mensen wachtwoorden van 30 tekens, en weet de politie hackers echt te pakken...
You're not in Kansas anymore, Dorothy
@supersnathan94 ; ja, ja, ja, en in jouw ideale wereld zijn alle algoritmes onkraakbaar, hebben mensen wachtwoorden van 30 tekens, en weet de politie hackers echt te pakken...
You're not in Kansas anymore, Dorothy
nee dat laatste sowieso niet, want dan hadden ze ze nu wel gehad. wat ik probeer te zeggen is dus dat die wachtwoorden idd onveilig zijn en je dus beter een hardwarematig en software matig gesloten systeem kan hebben. dus niet een UTP kabeltje naar de werk computer van de secretaresse o.i.d. als alle pc's in hetzelfde netwerk zitten als de servers met de keygegevens enzo (1 intranet) en die computers hebben dus verbinding met het net dan loopt je intranet een groot risico dat het met iets simpels als een geÔnfecteerd excell bestandje platgelegd en leeggetrokke word. precies wat hier dus gebeurd is. heb je twee gescheiden systemen dan kan je dat beter controleren, want je kan niet remote inloggen (VPN o.i.d) het intranet met de servers heeft geen internetverbinding namelijk.

wat jij zegt is idd mijn ideale wereld ja, maar zoals je zelf zegt it's not going to happen. voorzorgsmaatregelen als een gescheiden systeem helpen alleen wel al een stuk de goede richting in.
Hoeveel omgevingen kent ge nog waar 1 afgeschermde pc staat die niet op het netwerk hangt, waar je met een USB stick naar toe loopt om gegevens te halen en ze dan te verwerken? wss geen omdat dit geen manier van werken is, tegenwoordig gaat alles via VLAN, DMZ, honeypot, firewalling, ... en als dat in orde was geweest dan wisten de hackers gewoon goed waar ze mee bezig waren door de juiste personen aan te spreken en kan je verwachten dat er al wat social engineering aan te pas is gekomen voor de emails verstuurd werden. Bedrijven zijn echt niet allemaal zo stom als je denkt!
op mijn school gebruiken de leraren enkel de code van hun RSA token als wachtwoord.....
Waarschijnlijk zijn die niet met het internet verbonden, maar kan er wel vanaf het interne netwerk mee geconnecteerd worden. Als ze dan de juiste werknemer zijn VPN-login bemachtigen, kunnen ze overal aan.
en daar zit nou juist het probleem. dat had nou juist helemaal niet gemogen. zoiets hoor je gewoon in twee aparte systemen te verwerken. een computer met internetverbinding mag absoluut niet in het interne netwerk opgenomen worden. het is namelijk onmogelijk om die software en hardware matig geheel te beveiligen. zie het resultaat.

vergelijk het met een winkelcentrum. de winkels vormen het interne netwerk. die hebben heel vaak een semi gedeeld magazijn (ťťn gang meerdere deuren). het winkelcentrum is natuurlijk open voor publiek, maar in de winkels zijn goed beveiligde ingangen naar het magazijn waar soms meerder winkels dingen opslaan. (net al RSA-token gebeuren. meerdere bedrijven met hetzelfde principe) weet jij in een van die winkels te komen na sluitingstijd en heb jij de toegangscode dan kan je geheel je gang gaan en alles leegroven wat er is.

bij een winkel is het natuurlijk niet efficiŽnt om het magazijn niet vanuit de winkel bereikbaar te maken, maar zolang er dus geen software matige toegang mogelijk is (in dit geval de inlog code van de VPN naar ik aanneem) is er dus alleen hardware matige/fysieke toegang mogelijk doormiddel van een speciale sleutel die alleen een werknemer heeft (FBI systeem in de film shooter). neemt de mogelijkheid tot een overval na sluitingstijd af naar nul procent. het is immers onmogelijk om binnen te komen zonder sleutel.

en zoals hieronder wordt opgemerkt is het ook stom om met verouderde, niet gepatchete software te werken in zulke omgevingen (veel bedrijfskritische web-apps werken bijvoorbeeld alleen in internet explorer 6 en zoals we weten is dat zo lek als een vergiet.)
Goed werk Captain Hindsight.
Het lijkt erop dat jij terzake analyses niet erg op prijs stelt (ik meen enige ironie te proeven in jouw reactie).

Gelukkig werken de meeste beveiligers wel met dit soort analyses, zodat ze de volgende keer vooraf kunnen spotten waar het misgaat en hoe dat te voorkomen.

En behalve dat: beveiliging is een "state of mind". Ik denk dat supersnathan94 daar (ongeacht of zijn verhaal nou wel of niet helemaal klopt, daar kan je INHOUDELIJK natuurlijk altijd over in discussie gaan) veel dichter bij in de buurt zit dan mensen die nietszeggende opmerkingen zoals de jouwe maken zonder ook maar even door te denken over wat er aan de hand is.

[Reactie gewijzigd door mae-t.net op 3 april 2011 19:50]

DrPoncho doelt met Captain Hindsight op een southpark held die totaal overbodig is door punten te noemen die er nu niet meer toe doen:
http://www.southparkstudi...ess-you-captain-hindsight

Je ironie is spot-on :) and god bless you captain hindsight!
Dank voor je uitleg, die bevestigt dat DrPoncho waarschijnlijk ironisch sprak over Captain Hindsight.

Onbedoeld ga je met je laatste opmerking inhoudelijk een discussie aan die er nu niet meer toe doet (hoe ironisch). Als je het eens bent met DrPoncho zou het een stuk constructiever zijn om met argumenten te komen die inhoudelijk op mijn reactie op hem ingaan.

Slechts bevestigen dat je het met iemand eens bent terwijl je net een uitleg hebt gelezen waarom hij wel eens ongelijk zou kunnen hebben, is niet erg verheffend.

Een of ander flauw grapje over Captain Gemiste-Kans zou op zijn plaats kunnen zijn ;)

[Reactie gewijzigd door mae-t.net op 5 april 2011 00:11]

zelfs het nederlanse leger heeft internet via een terminal window gescheiden van het intranet....
om nou te zeggen dat de nederlanse overheid nou zo goed is met het veiligstellen van data durf ik wel te stellen dat het een grote IT miser is...
en zoals hieronder wordt opgemerkt is het ook stom om met verouderde, niet gepatchete software te werken in zulke omgevingen
Hoe wil je in vredesnaam iets patchen als 't om een zero-day lek gaat? Er is dan nog helemaal geen patch beschikbaar! Conclusie: Windows en Office en Flash helemaal de deur uit. Die drieŽn hebben samengewerkt in dit complot. Alle drie zijn schuldig. Alle drie zwaar straffen: minimaal 5 jaar de deur uit. Dan evt. eens weer kijken of ze hun leven gebeterd hebben (lijkt me sterk: het recidive-gehalte bij deze delinquenten is onvoorstelbaar hoog). Heb je dan minder functionaliteit? Jammer dan. Veiligheid gaat boven functionaliteit en winst. Herstel: ZOU veiligheid zou boven functionaliteit en winst moeten gaan. Helaas is de praktijk omgekeerd.

En intussen een bewezen veiliger alternatief nemen: Linux.

Natuurlijk was die meneer die dat Excel-bestandje opende waarschijnlijk ook niet helemaal wakker, maar dat is echt vantevoren bekend: mensen zullen altijd menselijk zijn (lees: ze zullen altijd (beoordelings)fouten maken). Dus gooi de zaak dicht waar het wel dicht (of i.i.g. dichter) kan: met je besturingssysteem en applicaties. Zoveel mogelijk Open Source, dan weet je zeker dat willekeurige deskundigen er onveilige zaken in kunnen vinden (dus zal de programmeur sowieso al beter zijn best doen).

[Reactie gewijzigd door kimborntobewild op 4 april 2011 11:59]

De werking/algorithme kan dan wel verkregen zijn, maar de sleutel(s) zullen wellicht via een beveiligde verbinding op een aparte server staan. (hoop ik)
De sleutel kraken a.d.h.v. het algorithme zou nog lange tijd kunnen duren.
Hackers lijken de strijd te winnen. Grote (security-)firms gekraakt en ook verschillende overheden. Dat kan wel wat betekenen voor de inrichting van grote bedrijven, als je je netwerken weer moet ontvlechten van het internet.
Hackers behalen hier en daar een 'overwinning', als je het zo mag noemen. Wat is 'de strijd' waar je het in dit geval over hebt? Het is niet 'Hackers versus de rest', imho, ook aangezien er nogal wat overlap in die twee partijen zit.
Het is een strijd in zoverre dat overheden en bedrijven grote hoeveelheden gevoelige informatie verzamelen, maar zorgen over veiligheid van de hand wijzen. Dit soort incidenten, die de laatste tijd steeds vaker voor lijken te komen, tonen gewoon aan dat het altijd om schijnveiligheid gaat. Juist ook als het technisch allemaal in orde lijkt.
Ik verbaas me enorm dat deze systemen niet fysiek gescheiden zijn. Waarom zou een leverancier van dit formaat niet zijn geheimen afschermen van het internet???
Fysiek gescheiden is leuk in theorie, maar in de praktijk worden dergelijke systemen ook gecompromitteerd als je tegenstander genoeg kennis en mogelijkheden heeft.

Kijk bv. naar wat Stuxnet aangericht heeft in Iran terwijl hun controlesoftware ook draait op systemen die niet aan het internet hangen. Men is er wel in geslaagd om dat virus uitgerold te krijgen op hun nucleaire installaties waardoor hun efficiŽntie op 'onverklaarbare' wijze zakte (en het atoomprogramma van Iran dus minder belangrijk geworden is).

Bovendien zorgt fysieke scheiding er ook voor dat de informatie zelf niet toegankelijk is om gebruikt te worden door het bedrijf zelf. Tenzij je die informatie enkel nodig hebt in noodgevallen (bv. de certificaten van het allerhoogste niveau (zoals bv. in DNSSEC of vrijwel elke andere hiŽrarchische structuur van certificaten/handtekeningen/sleutels)), is het een heel gedoe om je informatie geheel fysiek te scheiden van je netwerk. Daarnaast moet je er ook aan denken dat er op een of andere manier een backup moet bestaan van de gegevens, er bestaan wel technieken die dat op een cryptografisch veilige manier doen, maar voor bedrijfsgeheimen zou ik toch liefst ook weten wanneer een backup van het geheim ondeugdelijk geworden is.
Echter was er bij stuxnet wel degelijk sprake van een fysieke link: (hoogstwaarschijnlijk) via een usbstick van een medewerker, al dan niet opzettelijk, heeft de worm in het netwerk weten te infiltreren.
Inderdaad was er een "fysieke link" als je het strict wilt bekijken, maar die zal er altijd zijn: een systeem zonder interactie met de buitenwereld (en buitenwereld kan een groep selecte mensen zijn, het hele internet, ...) is compleet zinloos; dan kan je net zo goed je informatie vernietigen want dan heb je er even veel aan.

Je kan misschien wel denken dat sommige systemen kunnen werken met beperkte input (bv. controlepaneel met knopjes op), maar daarachter gaan ook computers, PLCs, ... schuil. We leven in een tijdperk waarin we met zo veel informatie werken, dat het gewoon niet meer mogelijk is om elke informatiestroom compleet te controleren. De werking van bv. die centrifuges in Iran, kan je misschien nog wel met de hand een beetje bijstellen, maar waarschijnlijk zal er toch zo veel in te stellen zijn, dat het praktisch (ergonomisch en economisch) enkel via digitale dragers kan en dan heb je daar nu eenmaal de risico's van.

Je zal altijd wel een medewerker nodig hebben die aan het systeem kan, je zal dus ook steeds een fysieke link hebben; daarom dus: "fysiek gescheiden is leuk in theorie".
...dat het gewoon niet meer mogelijk is om elke informatiestroom compleet te controleren.
Dat is het nooit geweest. Dat is precies de reden waarom je besturingssysteem zo veilig mogelijk moeten zijn, en is de reden waarom potentieel onveilige zaken standaard UIT moeten staan. In Windows staan veel zaken standaard onterecht AAN. Daar bovenop komt gewoon het feit dat Windows gewoon zo lek is als een mandje. Bij Windows moet je grote moeite doen om 't enigszins veilig te krijgen; bij Linux moet je grote moeite doen om 't enigszins ONveilig te krijgen.

Het bedrijfsleven moet eerst maar eens over naar andere besturingssystemen, dan zien we wel verder. Dan is vast al gelijk 99% van alle computerveiligheidsproblemen al automatisch opgelost.
Het verschil tussen een gescheiden systeem en een systeem dat onderdeel is van het grote geheel dat internet heet is de verbinding die het systeem heeft met het internet. Als de PC via het interne netwerk verbonden is met de rest van het netwerk van het bedrijf dat vervolgens weer verbonden is met het internet, heb je een permanente verbinding.
Als de verbinding tot stand komt door een mediadrager tussen twee pc's heen en weer aan te sluiten heb je een kortstondige verbinding.

Het systeem is nog steeds niet waterdicht bij een gescheiden systeem maar het is een heel stuk moeilijker te kraken.

Bij het stuxnet virus wisten de makers exact wat het virus moest doen op het moment dat het zijn doel pc bereikt had. Dit moest ook wel want de besmette pc kon niet naar huis bellen om nieuwe instructies op te halen of data terug te sturen. Een aan internet gekoppelde pc moest besmet worden, een media drager besmetten, deze moest in de niet gekoppelde pc gestoken worden. En daarna moest deze PC een PLC herprogrammeren.

Bij de RSA hackers werd er een mail verstuurd naar de juiste werknemer, de werknemer opent hem en de hackers konden rustig uitzoeken wat ze precies wilden hebben.
omdat het in deze tijd de standaard is dat iedere werknemer op elke plek bij zijn geheimen kan komen. Helaas is het afschermen tegen derden (lees hackers) altijd een kat en muis spel. Zo moet je constant de beveiliging verbeteren, anders wordt het een open huis
Dan nog is het niet lastig te scheiden.
Bv door 2 systemen te gebruiken die in elkaar integreren, bv een browser die via xenapp servers draait.
Of je kan beveiliging aanbrengen waarbij je aangeeft dat alleen bepaalde programma's op een systeem naar buiten kunnen (software firewall)
in dat soort systemen zijn na een verloop van een tijd altijd exploits te vinden, en dat is dus het kat en muis spel vindt de hacker of de update linie van het bedrijf de exploit eerder dan de ander

fysiek scheiden is de enige manier om zeker te weten dat het niet software matig naar buiten komt.
Precies, een zero day exploit in flash nam waarschijnlijk de browser over. Ik neem aan dat de hackers via poort 80 naar zich zelf communiceerden. Hoe ga je poort 80 firewallen? Of de browser? Zero day expoits kun je ook niet tegengaan.
Het idee van Xenapp servers heb ik zelf ook vaak uitgezet. Maar het probleem is dat men binnen de beveiligde omgeving ook toegang tot email wil of integratie tussen desktop en hosted omgeving. Daarmee begint het probleem vaak weer opnieuw.

Misschien is een gesloten netwerk met een proxy server het beste. In de DMZ dan een virus/web filtering doos ertussen. Maar zelfs dan ben je nooit 100% beveiligd.

[Reactie gewijzigd door dycell op 4 april 2011 15:24]

Hardware matig beveiligen door 2 computers te gebruiken op verschillende netwerken is nog altijd de beste oplossing. Je kunt de overheid veel verwijten, maar zo doen ze dat binnen Defensie en daar is nog maar weinig gevoelige informatie op die manier 'gejat'.
Lijkt me onrealistisch, en wat zou het uitmaken, dan hadden ze die mails wel verstuurd naar werknemers die toegang hadden op het andere fysieke netwerk. En deze geheimen zijn wel degelijk afgeschermd van internet. Maar eens je logins van het domein hebt ... moet je niet noodzakelijk in de DMZ zitten. De storage met deze gegevens gaat echt niet in een serverroom staan waar 1 fysieke server op hangt zonder network access, lijkt me ongemakkelijk in gebruik?!
Ik verbaas me enorm dat deze systemen niet fysiek gescheiden zijn. Waarom zou een leverancier van dit formaat niet zijn geheimen afschermen van het internet???
Even afgezien van of dat hier ook gewenst was, heb ik wel een algemeen antwoord: het verhoogt de efficiŽntie en productie enorm, als alles gekoppeld is. Veiligheid is daarbij gewoon een onbedoeld slachtoffer. Als je NIET alles aan elkaar koppelt, zullen andere partijen je links en rechts inhalen en ga je failliet. Ongetwijfeld zal dit niet voor alle bedrijven/bedrijfstakken gelden, maar toch wel bij de grote meerderheid.

Kortom: dit is een gevolg van normale evolutie: bedrijven die niet alles aan elkaar gekoppeld hebben, zijn minder efficiŽnt en overleven gewoon de concurrentie niet.
Natuurlijk lijken ze te winnen!

Dit soort berichten hebben veel meer impact dan "vier mannen gearresteerd op verdenking van hacken". Bovendien hoor je er helemaal niets van als het ze niet lukt!

Je hoort dus alleen de "gewonnen strijden" (om even in jouw vergelijking te blijven), de verliezen blijven onbekend.
DE VRAAG is natuurlijk:

Kunnen de 250 miljoen RSA-token gebruikers er nog vanuit gaan dat ze goed beveiligd zijn?
Hoe weet je dat het token dat je gebruikt een RSA token is?
Wij gebruiken bij mij op het werk ook zgn e-tokens maar komen die dan van RSA af via een omweg of komen die ergens anders vandaan? Hoe kan je daar nu achter komen?
Wat staat er dan op jouw token? Bij mijn token staat er gewoon RSA op...
Daarnaast is er zo veel extra informatie nodig. Een token is gerelateerd aan een gebruiker. Dus je moet weten welke token bij welke gebruiker hoort om een bijbehorende token id te genereren.
Precies, tokencode is een ding dan mis je nog twee dingen nl. een eigen verzonnen pincode en je gebruikersnaam. Ik denk daarom niet dat het zo'n vaart zal lopen. Het is zuur dat men straks het algoritme kan achterhalen o.i.d. maar dan mis je nog steeds cruciale info.

Als ik bij mijn werkgever inlog, moet ik username+pincode+tokencode invullen om vervolgens nog mijn AD wachtwoordt in de portaal in te loggen, ťn dan is het ook nog eens noodzaak dat je de url van onze vpn portaal weet, dus deze zogenaamde hackers hebben nog een lange weg te gaan, want op basis van een tokencode alleen kom je nog niet overal binnen.

miss. bij vodafone wel, daar zijn alle pincodes 3333 :P

[Reactie gewijzigd door loewie1984 op 4 april 2011 08:34]

Ja inderdaad en dat antwoord op die vraag hangt weer af van:
- Hoeveel informatie hebben ze buitgemaakt.
- Is deze informatie toe te passen op ťlke RSA token, of maar een bepaald type? (vasco biedt er volgens mij tig aan namelijk..)

Mochten ze alles van alle tokens weten, dan kan je je lol niet op, dat wordt een leuke grap voor de security bedrijven en de it afdelingen van bedrijven - die tokens gebruiken.

leuke = ook duur uiteraard.

@t k1n8fisher, zoals ik zei er zijn 'verschillende tokens' maar de meeste maken als het goed is gebruik van de 'RSA - security techniek'

[Reactie gewijzigd door 3DDude op 3 april 2011 23:03]

Dat de hacker via een phishing email een werknemer een bestand hebben laten openen begrijp ik nog wel. De kans dat dit lukt is altijd aanwezig ook al is het een kleine kans.
Maar ....

Met behulp van de malware wisten de hackers toegang te krijgen tot het bedrijfsnetwerk van RSA, mede door het bemachtigen van de inloggegevens van de RSA-werknemer op het gekraakte systeem

Hoe komen ze aan de inloggegevens van de RSA-werknemer?
Dat lijkt me een heel stuk lastiger!!
De naam van de persoon/account zal nog wel lukken maar het wachtwoord??
Het zou toch vreemd zijn dat een nota bene een RSA medewerker een simpel wachtwoord zou gebruiken.
Hoe komen ze aan de inloggegevens van de RSA-werknemer?
Dat lijkt me een heel stuk lastiger!!
Mij niet.

Stuur gewoon een mail van (zogenaamd uiteraard) de "IT Department" dat men de username en password moet intikken "om het netwerk-account te valideren" met een waarschuwing dat het account verwijderd zal worden als men dat niet doet, of iets in die trant, en je kan ervan verzekerd zijn dat er in elke organisatie wel een aantal mensen zijn die dit gewoon doen.

Zelfs IT-ers trappen hier soms nog in. Ben zelf systeembeheerder en heb al meerdere collega's (in vorige banen) gehad die er ook ingetrapt bleken te zijn, omdat de URL optisch klopte, en de site inhoudelijk en layout-technisch ook.

Of, zoasl Xessive hierboven terecht opmerkt, gebruik een keylogger (mooiste is natuurlijk een alternatieve GINA), en tadaa, je hebt zijn wachtwoord.

[Reactie gewijzigd door wildhagen op 3 april 2011 17:28]

Wildhagen,

Als je als systeembeheerder hierin trapt, ben je in mijn ogen geen systeembeheeder maar een ....... ( gebruik je fantasie )

Dit soort aanvallen stoppen is vrijwel onmogelijk als je te maken hebt met dit soort gebruikers.

Mijn strategie:
Al mijn belangrijke bestanden staan op een pc die geen toegang heeft tot het internet.

Peace
Die pc heeft ook geen toegang tot internet! Centrale storage staat in je LAN, hacken ze je PC zitten ze op de LAN en dus op servers, storage whatever dat niet rechtstreeks aan het internet hangt, ooit van VPN of SSL verbinding gehoord?
Ik zal iets duidelijker zijn. Mijn pc, waar alle kritieke data op staat,heeft geen verbinding met internet of Lan.
Knappe jongen als je dat dan voor elkaar krijgt.

Dit is natuurlijk in het bedrijfsleven geen optie.

Btw: wat voor nut heeft een VPN /ssl verbinding als je gehackt word door een email???
hackers hobbelen vrolijk met je mee terwijl je niets in de gaten hebt. :)
Ik zal iets duidelijker zijn. Mijn pc, waar alle kritieke data op staat,heeft geen verbinding met internet of Lan.
Knappe jongen als je dat dan voor elkaar krijgt.
Jij gebruikt sneakernet voor het overzetten van je pr0n? :P
Nog bedankt voorde uitleg.
:)
Als je als systeembeheerder hierin trapt, ben je in mijn ogen geen systeembeheeder maar een .......
Mens? :P
Waarschijnlijk gebruiken ze windows. Zelfs als je alle caching uit zet slaat het nog doodleuk je wachtwoorden op :) Kwestie van hashes opsturen, rainbowcracken en dan heb je ze.
Ooit van een key logger gehoord.... die registreert je toetsaanslagen... Op het moment dat je die hele sequence hebt is het redelijk makkelijk om die combinatie username / password te achterhalen.
Dan zie je in grotere organisaties dat mensen manieren gaan vinden om informatie tussen dat soort netwerken en de internet geconnecteerde netwerken gaan uitwisselen.

Vaak zijn dat soort afgeschermde netwerken ook nog extra gevoelig omdat er vaak met oude, niet gepatchte programma's wordt gewerkt.


Ik denk dat zelfs als het nu mogelijk is voor de hackers om de code te generen die bij een token op het scherm komt te staan ,ze ook de gateway IP, userid, serial van het token moeten hebben, en ook de pin die optioneel voor de code wordt gezet.

Als ze die moeite moeten doen kunnen ze ook iemand zijn token afpakken en hem/haar onder druk de credentials te laten overhandigen.
dat is een grote vergissing die je daar maakt.

iemands token afhandig maken en eventueel zelfs bedreigen e.d. kan welhaast niet ongemerkt gedaan worden.
als je hiermee binnen komt kan dat heel lang ongemerkt gaan; dat kan vele malen meer schade aanrichten!
Dus met dank aan de zwakste schakel - de mens die in een phishing mailtje trapt- is gebruik gemaakt van de slecht beveiligde Flash software.
De vraag is of het er toe doet of iemand het nummering-mechanisme van een RSA token heeft achterhaalt, want veel is afhankelijk van de installatie van de bijbehorende RSA software + andere login credentials die aan Adir of E-dir gekoppeld is.

Bij ons op het bedrijf is bewust gebruik gemaakt van beveiligers die de 'awareness' flink uittestten via e-mail (en link naar nagebouwde bedrijfswebmail), via telefoontjes en via de receptie. Er is altijd iemand die argwaan krijgt waardoor de rest gelukkig op tijd op de hoogte wordt gesteld. Dat was de les. Het viel dus reuze mee.

Zouden ze bij RSA (en andere concellega's) ook eens moeten doen. ;)
De zwakste schakel was hier een niet gepatched systeem of het niet gebruiken van een gescheiden systeem voor de high security data.
De mens is maar een klein schakeltje van fouten.
De mens is als altijd de grootste schakel. Daarom wordt er een heel blik mensen op gezet om deze schakel sterker te maken.

Zoals hierboven ook wordt opgemerkt, hoeveel PC's weet jij te vinden waarop je de data alleen op het beeldscherm dat met deze pc verbonden is kan bekijken.

En of het een gepatched systeem was of niet had ook niet heel veel uitgemaakt. Zoals te lezen gebruikten de hackers een zero-day gaatje (waar dus nog geen patch voor was).

En daarbij als deze beveiliging afhankelijk is van het geheimhouden van een algoritme en alleen daarvan was het al een slechte beveiliging. Dat zou betekenen dat iedere persoon die ooit toegang heeft gehad tot de pc waar deze code op stond al de mogelijkheden had het systeem te kraken. (Al dan niet nog steeds werkzaam voor het bedrijf).
Ik ben het deels met AxZzel eens. Het neigt inderdaad naar criminaliteit maar het mag toch niet zo zijn dat een firma als RSA op zo een schijnbaar betrekkelijk eenvoudige wijze de kroonjuwelen van het bedrijf prijsgeeft. Honderdduizenden zo niet miljoenen bedrijven hebben hun toegangsbeveiliging gebaseerd op RSA tokens. Dit kon wel eens het einde van RSA (EMC) betekenen. Wat een blunder!
' ..phishing mailtje trapt- is gebruik gemaakt van de slecht beveiligde Flash software. '


nee, er is gebruik gemaakt van een zero day-beveiligingsgat .. hoeveel beveiligingsgaten zijn al jaren bruikbaar ? ..

de mens is idd de zwakste schakel .. mooie test was toch wel een handje geprpareerde usb sticks op een parkeerterrein van een bekend bedrijf strooien.. 6 van de 10 werden binnen een uur in het systeem geprikt.

Op dit item kan niet meer gereageerd worden.



LG Nexus 5 (2015) Apple iPhone 6s FIFA 16 Microsoft Windows 10 Home NL Star Wars: Battlefront (2015) Samsung Gear S2 Skylake Samsung Galaxy S6 edge+

© 1998 - 2015 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True