F-secure: RSA gekraakt via Excel-bestand en Flash-exploit
Beveiligingsfirma F-secure stelt dat het de precieze aanvalsmethode heeft ontdekt die criminelen hebben gebruikt om gevoelige gegevens bij de collega's van RSA buit te maken. De aanvallers gebruikten een destijds nog niet bekende exploit.
Bij de aanval op RSA Security wisten onbekenden zeer gevoelige data naar buiten te smokkelen, waaronder informatie over de werking van SecurID-sleutelgenerators. RSA heeft zelf in april al enig inzicht gegeven in de methodiek van de aanvallers, waaruit onder andere bleek dat ze gebruikmaakten van een zero day-beveiligingslek in Adobe Flash via een onschuldig ogende Excel-file.
Inmiddels heeft F-secure het mailtje waarin het Excel-bestand is opgenomen in handen gekregen. De e-mail was in maart naar de dienst Virus Total gestuurd om gescand te worden op malware. F-secure denkt dat het bestand door een medewerker van EMC, het moederbedrijf van RSA, naar Virus Total is verzonden.
Omdat alle verstuurde bestanden naar Virus Total voor deelnemende beveiligingsbedrijven zijn te bekijken, kwam F-secure de betreffende mail op het spoor. Het blijkt te gaan om een e-mail met inderdaad een Excel-bestand. Zodra het Excel-bestand wordt geopend, is uitsluitend één checkbox zichtbaar. Vervolgens wordt via een embedded Flash-object een zero day-exploit toegepast waardoor de Poison Ivy-backdoor op het systeem wordt geïnstalleerd. Na installatie van de malware is een systeem geheel in handen van de aanvaller en kan het gebruikt worden als springplank naar de rest van het systeem.
F-secure stelt dat de gebruikte exploit 'geavanceerd' is, mede omdat het doelgericht is ingezet bij een aanval op een gerenomeerd beveiligingsbedrijf. F-secure stelt dat RSA deze aanval niet kon tegenhouden met alleen het up-to-date houden van beveiligingssoftware.
Reacties (69)
Dit is een goed voorbeeld waarom beveiliging gerelateerde content gewoon nooit online mag staan of uberhaubt in een netwerk aanwezig mag zijn wat aan het WAN zit gekoppeld.
Iedereen kan toch bedenken dat het lekken van deze informatie de ondergang van je organisatie kan betekeken (vooral als het je core-business is).
De gevolgen hiervan hebben RSA al 68 miljoen gekost.
Iedereen kan toch bedenken dat het lekken van deze informatie de ondergang van je organisatie kan betekeken (vooral als het je core-business is).
De gevolgen hiervan hebben RSA al 68 miljoen gekost.
De gegevens stonden ook niet online, tenzij je met online alle elektronische dragers bedoelt.
Het is namelijk zo dat de PC van een gebruiker gehackt is geweest en vanaf die PC is er vervolgens toegang verkregen tot het netwerk van RSA. Die gegevens stonden dus niet op een FTP server of zo.
Het is namelijk zo dat de PC van een gebruiker gehackt is geweest en vanaf die PC is er vervolgens toegang verkregen tot het netwerk van RSA. Die gegevens stonden dus niet op een FTP server of zo.
Dat leidt bij mij tot de vraag of de data in een DMZ stond of zou moeten staan.
In een DMZ zou ik het zeker niet zetten, dat is buiten alle firewalls. Wat je waarschijnlijk bedoeld is stand-alone en dat is wat onpraktisch. Deze hack kostte ze geld maar als je iedere keer met een USB stick naar een andere computer moet lopen kost dat effecientie en daarmee ook geld.
Dit lijkt me niet correct:In een DMZ zou ik het zeker niet zetten, dat is buiten alle firewalls.
"In a true DMZ, incoming requests must first pass through a DMZ computer before reaching the firewall."
http://compnetworking.abo...ksecurity/g/bldef_dmz.htm
Een DMZ kan een extra beveiligingslaag zijn, met zeer beperkte toegang tot internet en intern netwerk.
Afhankelijk van hoe je het configureert.
Stand-alone is nog veiliger, maar kan wellicht niet.
[Reactie gewijzigd door Xubby op maandag 29 augustus 2011 10:05]
Hier sla je de bal toch mis hoor. KillerZero86 heeft het bij het rechte eind.
Een DMZ is een stukje netwerk dat minder beveiligd is omdat juist toegang wil vanaf het internet om diensten te kunnen aanbieden. Bijvoorbeel web en mailservers.
Om even uit je bron te quoten:
De quote die jij aanhaalt bevestigt trouwens wat KillerZero86 zegt. Inkomend verkeerd gaat eerst door de DMZ en dan pas door de firewall om de interne LAN te bereiken. De DMZ computers staan dus wel degelijk buiten de firewall. Oké, je kan nog een firewall tussen het internet en de DMZ zetten, maar die kan je niet te streng configureren want dan werken je services niet meer.
Een DMZ is een stukje netwerk dat minder beveiligd is omdat juist toegang wil vanaf het internet om diensten te kunnen aanbieden. Bijvoorbeel web en mailservers.
Om even uit je bron te quoten:
Daar wil je die super gevoelige gegevens dus zéker niet opzetten.One or more computers also run outside the firewall, in the DMZ.
De quote die jij aanhaalt bevestigt trouwens wat KillerZero86 zegt. Inkomend verkeerd gaat eerst door de DMZ en dan pas door de firewall om de interne LAN te bereiken. De DMZ computers staan dus wel degelijk buiten de firewall. Oké, je kan nog een firewall tussen het internet en de DMZ zetten, maar die kan je niet te streng configureren want dan werken je services niet meer.
Zo had een klant het dus ook: Internet, router, firewall, DMZ, data server.Een DMZ is een stukje netwerk dat minder beveiligd is omdat juist toegang wil vanaf het internet om diensten te kunnen aanbieden. Bijvoorbeel web en mailservers.
Oké, je kan nog een firewall tussen het internet en de DMZ zetten, maar die kan je niet te streng configureren want dan werken je services niet meer.
Een zeer dichtgetimmerde router en firewall naar het internet čn naar het intern netwerk.
Geheel afhankelijk van hoe je het zelf configureerd.
toegevoegd:
http://nl.wikipedia.org/wiki/Demilitarized_zone_(informatica)
[Reactie gewijzigd door Xubby op maandag 29 augustus 2011 11:19]
@Xubby
Als ik even het Engelstalige artikel lees dan staat er dat een DMZ per definitie van het interne netwerk is gescheiden door een firewall. Ook in het Nederlandstalige artikel staat dit in die plaatjes (die groene blokjes zonder beschrijving zijn firewalls).
Wel staat er nog een stukje over een zgn "DMZ host" die wel directe access tot het interne netwerk heeft, maar dat is geen echte DMZ:
Als ik even het Engelstalige artikel lees dan staat er dat een DMZ per definitie van het interne netwerk is gescheiden door een firewall. Ook in het Nederlandstalige artikel staat dit in die plaatjes (die groene blokjes zonder beschrijving zijn firewalls).
Wel staat er nog een stukje over een zgn "DMZ host" die wel directe access tot het interne netwerk heeft, maar dat is geen echte DMZ:
Some home routers refer to a DMZ host. A home router DMZ host is a host on the internal network that has all ports exposed, except those ports otherwise forwarded. By definition this is not a true DMZ (Demilitarized Zone), since it alone does not separate the host from the internal network. That is, the DMZ host is able to connect to hosts on the internal network, whereas hosts within a real DMZ are prevented from connecting with the internal network by a firewall that separates them, unless the firewall permits the connection.
[Reactie gewijzigd door Bonez0r op maandag 29 augustus 2011 17:52]
Een DMZ is niet minder beveiligd dan het LAN. Een DMZ moet je gebruiken om services te presenteren naar de buitenwereld toe waarbij deze systemen als gecontroleerd doorgeefluik dienen. Bijvoorbeeld een Website zonder eigen data, data wordt in gecontroleerde en beveiligde omgeving uit een database gehaald. Om te voorkomen dat de DMZ als springplank gebruikt kan worden dient deze zeer goed beveiligd te zijn.Hier sla je de bal toch mis hoor. KillerZero86 heeft het bij het rechte eind.
Een DMZ is een stukje netwerk dat minder beveiligd is omdat juist toegang wil vanaf het internet om diensten te kunnen aanbieden. Bijvoorbeel web en mailservers.
Om even uit je bron te quoten:
[...]
Daar wil je die super gevoelige gegevens dus zéker niet opzetten.
De quote die jij aanhaalt bevestigt trouwens wat KillerZero86 zegt. Inkomend verkeerd gaat eerst door de DMZ en dan pas door de firewall om de interne LAN te bereiken. De DMZ computers staan dus wel degelijk buiten de firewall. Oké, je kan nog een firewall tussen het internet en de DMZ zetten, maar die kan je niet te streng configureren want dan werken je services niet meer.
DMZ staat voor DeMilitarized Zone, oftewel een zone met weinig regels.
Dat maakt natuurlijk niet uit of die gegevens er wel of niet in stonden. Als er controle is over een systeem wat aan het internet hangt, maar de gegevens op een gedeelte van het netwerk wat niet benaderbaar is van buitenaf maar wel vanaf het gehackte systeem.
Overigens zullen ze hier niet in hebben gestaan, maar erachter. DMZ is om gegevens aan de buitenwereld te presenteren vanuit het netwerk, niet om ze af te schermen.
Overigens zullen ze hier niet in hebben gestaan, maar erachter. DMZ is om gegevens aan de buitenwereld te presenteren vanuit het netwerk, niet om ze af te schermen.
Niet eens nodig hoor, uit de originele post (http://www.f-secure.com/weblog/archives/00002226.html):
"Once the connection is made, the attacker has full remote access to the infected workstation. Even worse, it has full access to network drives that the user can access. Apparently the attackers were able to leverage this vector further until they gained access to the critical SecurID data they were looking for."
Als dit een laptop is, en de werknemer gebruikt die laptop om via een VPN in te loggen op de werkomgeving van thuis uit, ben je vertrokken. En ongeveer elke werknemer heeft een laptop en ongeveer elk bedrijf voorziet een VPN-verbinding om extern in te loggen. Zeker in de IT-sector.
Hell, als je het een beetje slim aanpakt, bijvoorbeeld data doorsturen via HTTP naar één of andere obscure server en de hoeveelheid data beperken om niet op te vallen, dan kan je zelfs voorbij de bedrijfsfirewall geraken en meevolgen wat de werknemer doet terwijl hij op de vloer aan het werken is...
"Once the connection is made, the attacker has full remote access to the infected workstation. Even worse, it has full access to network drives that the user can access. Apparently the attackers were able to leverage this vector further until they gained access to the critical SecurID data they were looking for."
Als dit een laptop is, en de werknemer gebruikt die laptop om via een VPN in te loggen op de werkomgeving van thuis uit, ben je vertrokken. En ongeveer elke werknemer heeft een laptop en ongeveer elk bedrijf voorziet een VPN-verbinding om extern in te loggen. Zeker in de IT-sector.
Hell, als je het een beetje slim aanpakt, bijvoorbeeld data doorsturen via HTTP naar één of andere obscure server en de hoeveelheid data beperken om niet op te vallen, dan kan je zelfs voorbij de bedrijfsfirewall geraken en meevolgen wat de werknemer doet terwijl hij op de vloer aan het werken is...
ze stonden kennelijk wel "online" omdat ze via het netwerk te benaderen waren dat dus ook aan internet hangt ofwel online. Er was alleen een hack voor nodig om toegang te krijgen.
Dit soort extreem belangrijke data moet gewoon gescheiden worden van het internet toegangs netwerk en een intern netwerk.
Dit soort extreem belangrijke data moet gewoon gescheiden worden van het internet toegangs netwerk en een intern netwerk.
De medewerker die het mailtje ontving dacht waarschijnlijk:
"Ach, als het door al onze firewalls komt, dan zal het wel veilig zijn... Misschien is het iets belangrijks... "
Is er nog discipline in het westen?
"Ach, als het door al onze firewalls komt, dan zal het wel veilig zijn... Misschien is het iets belangrijks... "
Is er nog discipline in het westen?
Het zijn enorme bedrijven natuurlijk, maar je zou verwachten dat alleen de mensen die deze info nodig hadden deze info ook hadden.
Mij klink het een beetje alsof dit bestand bij een of andere niet-techy manager terecht is gekomen, deze eisen wel eens onterecht toegang tot bestanden waar ze vanuit hun functie niets mee te maken hebben, maar wat ze wel kunnen eisen vanuit hun machtspositie.
Zeg nooit nooit, maar excel files die ik niet verwacht en die niet van collega's afkomen open ik standaard niet.
Dus ook niet die 'lollige' mailtjes van collegas met kerstgroeten, deze 'discipline' mag je toch wel verwachten van medewerkers met toegang tot dit soort bestanden.
Mij klink het een beetje alsof dit bestand bij een of andere niet-techy manager terecht is gekomen, deze eisen wel eens onterecht toegang tot bestanden waar ze vanuit hun functie niets mee te maken hebben, maar wat ze wel kunnen eisen vanuit hun machtspositie.
Zeg nooit nooit, maar excel files die ik niet verwacht en die niet van collega's afkomen open ik standaard niet.
Dus ook niet die 'lollige' mailtjes van collegas met kerstgroeten, deze 'discipline' mag je toch wel verwachten van medewerkers met toegang tot dit soort bestanden.
Laat dat nou net het punt zijn. Via die computer was het mogelijk om bij de informatie te komen, en dat zou dus nooit mogen! Het moet een compleet afgezonderd netwerk zijn, die ook niet via een terminal ed. te raadplegen is, maar alleen via fysieke toegang. Dat is hier dus niet gebeurt, en dat vind ik eigenlijk wel schandalig van een beveiligingsbedrijf als RSA.
Zonder een vorm van netwerk is er in de hedendaagse IT industrie niet meer te werken. Wat mij meer verbaasd is dat de betreffende PC totale toegang heeft tot internet en dat de gebruiker blijkbaar zomaar onbekende excel files opent. Zonder de juiste credentials geraak ik op mijn werk PC niet voorbij de proxy en dus ook niet op het internet. En zelfs dan is het beperkt tot enkele poorten (ftp en http)
[Reactie gewijzigd door Blokker_1999 op maandag 29 augustus 2011 09:23]
ftp? really? Dat is toch echt een service die gewoon verbannen zou moeten worden, er zijn genoeg veilige alternatieven, een protocol dat zijn wachtwoord in plain text over het lijntje stuurt kan echt niet meer.
Helaas is ook http al voldoende om data naar binnen/buiten te sluizen. Je kunt, als virusbouwer, eenvoudig de internet-explorer van windows gebruiken zodat je in je personal firewall geen nieuw programma toegang hoeft te geven tot het internet.
Maar het betreft wel een opeenstapeling van fouten: internet explorer (lekker diep geintegreerd in windows) microsoft office (de bestanden zijn ideaal om virussen mee te verschepen en de programmeertaal is lekker diep geintegreerd in het OS) en het openen van ongevraagd toegestuurde bijlagen. Alleen outlook (die een preview van e-mails al opent in een internet explorer component op het moment dat je ze selecteert (om te deleten) ontbreekt nog in het rijtje.
Waar was het gezond verstand? Blijkbaar werd compleet en blind vertrouwd op de virusscanner, terwijl die per definitie achter de feiten aan lopen.
edit:
Ah ja, anonymous ftp kan natuurljk wel, net zoals http als je maar niet mee inlogged. Maar voor meer moet je het niet gebruiken (dus ook niet stiekem voor deze ene keer/per ongeluk)
Waarom zou je software(-updates) op een beveiligde manier moeten binnehalen? Omdat dan niemand onderweg met de data kan rommelen (wat overigens ook niet kan als de update-software de signature van de update -als die er is- checkt.) Het is natuurlijk vergezocht dat er ergens op de lijn een virus zou zijn dat wacht tot jij update x voor pakket y binnenhaalt om dan snel zijn eigen code te injecteren, maar het zal niet de eerste keer zijn dat een virus voor 1 specifiek doelwit geschreven wordt. en een ftp-pakketje vervangen (spoofen) is kinderspel.
Het kan en de vraag is dan hoe groot het risico is. Werk je bij RSA of een kerncentrale, dan wil je dat risico gewoon niet lopen.
Als er genoeg machines zijn die automatisch hun updates binnenhalen op een onveilige manier, wordt het vanzelf interessant om dat vrius eens een keer te schrijven.
Er zijn situaties te bedenken waarbij ftp geen direct risico is, maar ook in al die situaties zijn de aternatieven gewoon verstandiger. ftp (en telnet) zijn verouderde protocollen waarvoor geen enkele reden meer bestaat om ze nog te gebruiken, maar waarvoor wel een hele grote reden bestaat om ze niet meer te gebruiken op het internet.
Helaas is ook http al voldoende om data naar binnen/buiten te sluizen. Je kunt, als virusbouwer, eenvoudig de internet-explorer van windows gebruiken zodat je in je personal firewall geen nieuw programma toegang hoeft te geven tot het internet.
Maar het betreft wel een opeenstapeling van fouten: internet explorer (lekker diep geintegreerd in windows) microsoft office (de bestanden zijn ideaal om virussen mee te verschepen en de programmeertaal is lekker diep geintegreerd in het OS) en het openen van ongevraagd toegestuurde bijlagen. Alleen outlook (die een preview van e-mails al opent in een internet explorer component op het moment dat je ze selecteert (om te deleten) ontbreekt nog in het rijtje.
Waar was het gezond verstand? Blijkbaar werd compleet en blind vertrouwd op de virusscanner, terwijl die per definitie achter de feiten aan lopen.
edit:
Ah ja, anonymous ftp kan natuurljk wel, net zoals http als je maar niet mee inlogged. Maar voor meer moet je het niet gebruiken (dus ook niet stiekem voor deze ene keer/per ongeluk)
Waarom zou je software(-updates) op een beveiligde manier moeten binnehalen? Omdat dan niemand onderweg met de data kan rommelen (wat overigens ook niet kan als de update-software de signature van de update -als die er is- checkt.) Het is natuurlijk vergezocht dat er ergens op de lijn een virus zou zijn dat wacht tot jij update x voor pakket y binnenhaalt om dan snel zijn eigen code te injecteren, maar het zal niet de eerste keer zijn dat een virus voor 1 specifiek doelwit geschreven wordt. en een ftp-pakketje vervangen (spoofen) is kinderspel.
Het kan en de vraag is dan hoe groot het risico is. Werk je bij RSA of een kerncentrale, dan wil je dat risico gewoon niet lopen.
Als er genoeg machines zijn die automatisch hun updates binnenhalen op een onveilige manier, wordt het vanzelf interessant om dat vrius eens een keer te schrijven.
Er zijn situaties te bedenken waarbij ftp geen direct risico is, maar ook in al die situaties zijn de aternatieven gewoon verstandiger. ftp (en telnet) zijn verouderde protocollen waarvoor geen enkele reden meer bestaat om ze nog te gebruiken, maar waarvoor wel een hele grote reden bestaat om ze niet meer te gebruiken op het internet.
[Reactie gewijzigd door Roland684 op maandag 29 augustus 2011 14:41]
waarom zou het per se secure moeten zijn? als ik mijn workstation of mijn servers update, gebruik ik gewoon ftp om nieuwe packages te downloaden. Waarom zou dat beveiligd moeten? en wat is volgens jou daarvoor een beter geschikt protocol?
Of je data versleuteld verzonden moet worden, soit, daarover kun je discussieren.waarom zou het per se secure moeten zijn?
Maar ftp stuurt je password dus ook gewoon cleartext over de lijn. DAT is imho gewoon not done, tegenwoordig. En dat is wat Roland boven jou ook zegt.
true that, maar als je via anonymous ftp dingen downloadt, dan stuur je helemaal geen wachtwoord op, dus daarmee lijkt meniets aan de hand.
plaintext wachtwoorden versturen lijkt me inderdaad redelijk not done (tenzij je verbinding al over een versleutelde tunnel oid loopt)
plaintext wachtwoorden versturen lijkt me inderdaad redelijk not done (tenzij je verbinding al over een versleutelde tunnel oid loopt)
Mmmm,
Zodra de PC in kwestie is geinfecteerd en volledig in handen is van de attacker zoals bij RSA het geval was, maakt het geen fluit uit of je password secure wordt verzonden of niet. SSH biedt geen enkele meerwaarde over Telnet op het moment dat een keylogger gewoon lekker je wachtwoord kan meelezen...
Zodra de PC in kwestie is geinfecteerd en volledig in handen is van de attacker zoals bij RSA het geval was, maakt het geen fluit uit of je password secure wordt verzonden of niet. SSH biedt geen enkele meerwaarde over Telnet op het moment dat een keylogger gewoon lekker je wachtwoord kan meelezen...
En hoe weet jij dat de bron waar jij je updates vandaan haalt betrouwbaar is?
Misschien hebben ze de DNS waar jij gebruik van maakt wel gehackt.
Of doe jij alle updates eerst netjes MD5'en voordat je ze installeert?
Misschien hebben ze de DNS waar jij gebruik van maakt wel gehackt.
Of doe jij alle updates eerst netjes MD5'en voordat je ze installeert?
Met niet online wordt bedoeld dat de pc's met dit soort gevoelige informatie, niet fysiek verbonden zijn met het internet.
Dat wil zeggen dat je 2 aparte netwerken hebt. Werknemers die toegang tot deze informatie hebben, hebben dus 2 PC's op hun werkplek staan. 1 "secure" en 1 voor internet en mail.
Dat wil zeggen dat je 2 aparte netwerken hebt. Werknemers die toegang tot deze informatie hebben, hebben dus 2 PC's op hun werkplek staan. 1 "secure" en 1 voor internet en mail.
Bijna correct wat densoN bedoelt is dat dit soort zeer gevoelige data simpel weg niet op een netwerk beschikbaar mag zijn als dat netwerk ook met het internet verbonden is.
Om je een voorbeeld te geven Cisco in haar ontwikkel centra heeft de core code van de DHCP server en andere systemen op 1 systeem staan dit systeem staat in een afgesloten ruimte waar maar een paar mensen toegang toe hebben. Er kunnen geen USB of andere externe opslag devices verbonden worden en de kast zit letterlijk op slot. De kamer heeft geen ramen en het is dus simpel weg niet mogelijk om in deze kamer verbinding te maken met de rest van het netwerk. Om een compilatie te maken is dus altijd iemand van uit de core developers groep nodig en moet er speciaal hier voor data naar deze machine overgezet worden iets dat alleen gebeurt met hun goed keuring.
De kans dat dit soort gevoelige data zo als de werking van een beveiliging of de manier waarop een de Cisco DHCP server werkt uitlekt is dus extreem klein omdat er maar zeer weinig mensen toegang tot de code hebben en niemand er via het netwerk bij kan komen.
Dit is hoe je beveiliging regelt, een bedrijf dat zo'n beetje 80% van alle bouwstenen van het internet geleverd heeft is slim genoeg om te weten dat je als je systeem met dat netwerk verbonden is (direct of indirect) het simpel weg niet veilig kan houden.
RSA een beveiligings specialist zou simpel weg beter moeten weten en zo'n risico nooit moeten lopen.
Het heeft RSA waarschijnlijk een heleboel meer gekost dan 68 miljoen omdat ik aan neem dat erg veel overheden voor hun geheime data niet meer op RSA durven vertrouwen nu ze weten dat waarschijnlijk China dan wel een ander land met net even te veel interesse in het buitenland een manier heeft om als het "nodig is" deze beveiliging te kraken.
Om je een voorbeeld te geven Cisco in haar ontwikkel centra heeft de core code van de DHCP server en andere systemen op 1 systeem staan dit systeem staat in een afgesloten ruimte waar maar een paar mensen toegang toe hebben. Er kunnen geen USB of andere externe opslag devices verbonden worden en de kast zit letterlijk op slot. De kamer heeft geen ramen en het is dus simpel weg niet mogelijk om in deze kamer verbinding te maken met de rest van het netwerk. Om een compilatie te maken is dus altijd iemand van uit de core developers groep nodig en moet er speciaal hier voor data naar deze machine overgezet worden iets dat alleen gebeurt met hun goed keuring.
De kans dat dit soort gevoelige data zo als de werking van een beveiliging of de manier waarop een de Cisco DHCP server werkt uitlekt is dus extreem klein omdat er maar zeer weinig mensen toegang tot de code hebben en niemand er via het netwerk bij kan komen.
Dit is hoe je beveiliging regelt, een bedrijf dat zo'n beetje 80% van alle bouwstenen van het internet geleverd heeft is slim genoeg om te weten dat je als je systeem met dat netwerk verbonden is (direct of indirect) het simpel weg niet veilig kan houden.
RSA een beveiligings specialist zou simpel weg beter moeten weten en zo'n risico nooit moeten lopen.
Het heeft RSA waarschijnlijk een heleboel meer gekost dan 68 miljoen omdat ik aan neem dat erg veel overheden voor hun geheime data niet meer op RSA durven vertrouwen nu ze weten dat waarschijnlijk China dan wel een ander land met net even te veel interesse in het buitenland een manier heeft om als het "nodig is" deze beveiliging te kraken.
Bij de politie in Nederland zijn de PC's die toegang hebben tot de speciale systemen ook gescheiden van het Internet. Alleen jammer dat er altijd een paar zijn die hun eigen USB sticks in zo'n PC doen..
Geef dat soort mensen dan een (cytrix) terminal en sluit de USB af voor onbekende apparatuur en sta alleen geencrypte met vingerafdruk beveiligde usb-sticks toe. Onder Windows kun je ook de bestanden usbstor en usbstor.pnf beveiligen. Kortom als mensen hun eigen USB sticks gebruiken komt dat vooral door incompetente beheerders. De meeste gebruikers binnen een bedrijf weten helemaal niet wat voor risico ze lopen.Alleen jammer dat er altijd een paar zijn die hun eigen USB sticks in zo'n PC doen..
Hoe had je dat in gedachten?
Werkdocumenten staan op een shared drive en iedereen die erop wil werken staat op een apart netwerk? Als je dan iets wil opzoeken, moet je op een andere computer aan de slag? Je mag niets tussen de 2 netwerken overdragen: geen USB, geen DVD/CDR, ... Lijkt me waanzinnig lastig. Hoe ga je iets installeren? Hoe ga je updaten? Pushen vanuit de admins? Zij kunnen net zo goed die 0-day-exploit pushen é...
Lijkt me vreselijk omslachtig voor een klein risico te omzeilen. In dit geval heeft RSA gewoon "pech".
Werkdocumenten staan op een shared drive en iedereen die erop wil werken staat op een apart netwerk? Als je dan iets wil opzoeken, moet je op een andere computer aan de slag? Je mag niets tussen de 2 netwerken overdragen: geen USB, geen DVD/CDR, ... Lijkt me waanzinnig lastig. Hoe ga je iets installeren? Hoe ga je updaten? Pushen vanuit de admins? Zij kunnen net zo goed die 0-day-exploit pushen é...
Lijkt me vreselijk omslachtig voor een klein risico te omzeilen. In dit geval heeft RSA gewoon "pech".
Je kan natuurlijk een aparte update infrastructuur opzetten voor dat netwerk.
Een zero day exploit pushen is minder erg in die zin dat de gevoelige informatie je netwerk niet kan verlaten ondanks de exploit.
Een zero day exploit pushen is minder erg in die zin dat de gevoelige informatie je netwerk niet kan verlaten ondanks de exploit.
Hier ben ik het niet helemaal mee eens. Als je bedenkt dat overheden, de geheime diensten en het leger met SecureID werkt is RSA 'het' doelwit voor de gemeenschap die zich bezighoudt met bedrijfsspionage op het hoogste niveau, mag je verwachten dat de beveiliging 'vreselijk omslachtig' is.Lijkt me vreselijk omslachtig voor een klein risico te omzeilen. In dit geval heeft RSA gewoon "pech".
[Reactie gewijzigd door densoN op maandag 29 augustus 2011 09:39]
Sowieso is dergelijk bedrijf ook aan sterke compliancy regels gebonden. Anders doet het leger etc geen zaken met jou. Wel sterk dus dat die regels blijkbaar niet voldoende waren of met de voeten zijn getreden.
Ja, werkdocumenten op de kantoormachine die niet met het internet verbonden is en internet op speciale internet-pc's.
Als je een bestand van het ene naar de andere netwerk wil hebben, mag je dat via een beheerder aanvragen. Zomaar bestanden (kunnen) mailen met de buitenwereld is niet bepaald secure.
Als je een bestand van het ene naar de andere netwerk wil hebben, mag je dat via een beheerder aanvragen. Zomaar bestanden (kunnen) mailen met de buitenwereld is niet bepaald secure.
Ze hebben in zoverre pech dat een phishing mail met als titel 'recruitment plan 2011' is geopend door een medewerker. Waarbij de medewerker bewust of onbewust de ingesloten macros moet hebben uitgevoerd om de embedded payload te activeren.
Als je fishing spam ontvangt die overduidelijk niet voor jouw bestemt is, gooi je de mail gewoon weg. Door het onderwerp van de mail (en vast ook wel de fake afzender) leek de mail uit het interne netwerk afkomstig te zijn.
Met de Excel macro security op low of medium ben je dan, bij een doelgerichte aanval, direct de sigaar als je Excel attachments van collegas vertrouwt.
Is het echt vreemd dat, als je bij RSA werkt, het verstandig is je macros te ondertekenen en de VBA certificaten ook regelmatig te controleren? Zo omslachtig is dat ook weer niet.
Als je fishing spam ontvangt die overduidelijk niet voor jouw bestemt is, gooi je de mail gewoon weg. Door het onderwerp van de mail (en vast ook wel de fake afzender) leek de mail uit het interne netwerk afkomstig te zijn.
Met de Excel macro security op low of medium ben je dan, bij een doelgerichte aanval, direct de sigaar als je Excel attachments van collegas vertrouwt.
Is het echt vreemd dat, als je bij RSA werkt, het verstandig is je macros te ondertekenen en de VBA certificaten ook regelmatig te controleren? Zo omslachtig is dat ook weer niet.
[Reactie gewijzigd door biomass op maandag 29 augustus 2011 12:51]
Ja op die manier kun je nog wel honderd redenen verzinnen waarom je de kroon juwelen niet in een kluis in een beveiligd pand met bewaking en camera toezicht moet leggen maar gewoon in je zak moet steken...
Denk je nu echt dat bijvoorbeeld Google de search algoritme gewoon op een op het netwerk aangesloten systeem heeft staan? Dat je de core Windows code bij Microsoft even kunt op zoeken? Dat je bij Oracle even de database code kunt bekijken?
Dit soort data mag NOOIT op een shared drive staan of op welke andere met het algemene netwerk verbonden systeem dan ook. De bedrijfs geheimen zijn GEHEIM en moeten dus altijd op een systeem staan dat on mogelijk het internet op kan, waar maar heel erg weinig mensen toegang toe hebben en waar je niet zo maar een USB, DVD of wat dan ook in kan steken om een kopie te maken.
Deze geheimen zijn waar deze bedrijven van leven en met hun hun vele tien- honderd duizenden medewerkers wereldwijd.
Wat RSA heeft gedaan om dit soort gevoelige data op hun netwerk te laten slingeren is niet pech dit is een dood zonde en zou zo maar eens het bedrijf de kop kunnen kosten.
Denk je nu echt dat bijvoorbeeld Google de search algoritme gewoon op een op het netwerk aangesloten systeem heeft staan? Dat je de core Windows code bij Microsoft even kunt op zoeken? Dat je bij Oracle even de database code kunt bekijken?
Dit soort data mag NOOIT op een shared drive staan of op welke andere met het algemene netwerk verbonden systeem dan ook. De bedrijfs geheimen zijn GEHEIM en moeten dus altijd op een systeem staan dat on mogelijk het internet op kan, waar maar heel erg weinig mensen toegang toe hebben en waar je niet zo maar een USB, DVD of wat dan ook in kan steken om een kopie te maken.
Deze geheimen zijn waar deze bedrijven van leven en met hun hun vele tien- honderd duizenden medewerkers wereldwijd.
Wat RSA heeft gedaan om dit soort gevoelige data op hun netwerk te laten slingeren is niet pech dit is een dood zonde en zou zo maar eens het bedrijf de kop kunnen kosten.
Desalniettemin een dikke faal wat betreft filesecurity.. dat soort bestanden mogen gewoon nooit het pand verlaten.. dat soort security developers horen afgesloten te werken van de buitenwereld en met een apart systeem het internet op te gaan, maargoed... praktisch is het natuurlijk niet.
[Reactie gewijzigd door cappie op maandag 29 augustus 2011 08:58]
Of ze zouden met Linux moeten gaan werken ipv Windows. Dat maakt het voor hackers een stuk moeilijker om trojans en backdoors te installeren want 99.9% daarvan is geschreven voor Windows.
en 100% van de statistieken word gewoon verzonnen on the spot. Zoals bovenstaande.
Ik denk maar 1 ding: Waarom is het mogelijk gemaakt om flash objecten aan te roepen in een Excel bestand?
Is er iemand die dat ooit heeft gebruikt?
Is er iemand die dat ooit heeft gebruikt?
Als je de standaard beveiliging hebt aanstaan binnen office, krijg je hier of een melding van, of dit wordt zelfs geblokkeerd (als het via een macro wordt aangeroepen).
Het behelst een exploit, dus nee natuurlijk krijg je daar niet standaard een melding van. Dat is het hele punt met een exploit. Het exploiteert een gat in de code waardoor er geen alarmbellen afgaan. Probleem is dat dit veel te vaak een gat in Flash betreft! Ongelofelijk.
het gebeurde vanuit excel toch? dat lijkt het me een gat in excel, niet in flash 
Beide, lijkt me. Allereest dat Excel een Flash bestand kan embedden (en daar kennelijk niet voor waarschuwd), en dan dat Flash zooi kan installeren op het systeem zonder waarschuwingen.
Volgens mij is het een feature in office 2010, daar kan in powerpoint tegenwoordig o.a. Youtube ge-embed worden. Het lijkt mij op die manier dan ook mogelijk om een ander flash bestand te embedden en met behulp van een exploit in flash malicious code uit te voeren.
Wat meer informatie over het embedden in office 2010:
Embedden in Powerpoint
Embedden in Word
Embedden in Excel
(laatste twee links zijn even down, Google cache heeft ze nog)
Wat meer informatie over het embedden in office 2010:
Embedden in Powerpoint
Embedden in Word
Embedden in Excel
(laatste twee links zijn even down, Google cache heeft ze nog)
[Reactie gewijzigd door thof1 op maandag 29 augustus 2011 13:01]
Zelf denk ik aan andere vragen: hoe is de e-mail, mogelijk van een medewerker van een dochterbedrijf (EMC) van RSA, besmet geraakt?
En gaf de e-mail of het excel bestand geen aanleiding ("Zodra het Excel-bestand wordt geopend, is uitsluitend één checkbox zichtbaar.") om wantrouwig te worden?
edit: typo.
En gaf de e-mail of het excel bestand geen aanleiding ("Zodra het Excel-bestand wordt geopend, is uitsluitend één checkbox zichtbaar.") om wantrouwig te worden?
edit: typo.
[Reactie gewijzigd door Xubby op maandag 29 augustus 2011 09:16]
microsoft heeft lang geleden een algemene techniek ontworpen om alle soorten content te kunnen embedden in andere content. Dat is handig als je bv een Excel grafiek in Word wil tonen. En ja, ook flash content is te embedden. Of het al dan niet handig is om Flash in Excel te zetten maakt dan ook niet uit. Als het in Excel werkt, werkt het ook in 1 van de vele andere programma's die embedden ondersteunen. Excel is waarschijnlijk gekozen omdat het bekent en populair is, maar is hier niet meer dan een drager van het virus. Het echte probleem zit dus in flash (waar een bug in zit). En de technologie om te kunnen embedden uitzetten lijkt mij ook lichtelijk overdreven.
Je kan in exel zogenaamde OLE-containers of ActiveX containers -embedden.
Op deze mannier kan je geavanceerde content in je rekenblad toevoegen.
Use-case/voorbeeld: een autofabrikant kan bijvoorbeeld een exelblad gegevens laten trekken uit bijvoorbeeld een "auto-simulator"-control-object.
Ik weet dat er duizend redenen te zijn om dit niet te willen. Maar ome 'bill' heeft dit helaas ooit zo beslist.
Helaas is de Adobe-Flash-player ook zo een ActiveX, en erger, de gebruiker moet GEEN toestemming geven voor het uitvoeren ervan. De plugin van flash is signed (adobe= trusted party) dus exel gaat het lekker uitvoeren. ... #fail
Hoe kan je dit voorkomen? Geen OLE/activeX objecten onderstuenen, zeker zijn dat exel volledig is dichtgetimmerd en zeker zijn dat het OS (windows) zeker is dichtgetimmerd. Een PC met extreme firewall: ieder data-pakketje moet dan ge-analyseerd worden, zodat er nooit ongewenste gegevens naar buiten kunnen.
Op deze mannier kan je geavanceerde content in je rekenblad toevoegen.
Use-case/voorbeeld: een autofabrikant kan bijvoorbeeld een exelblad gegevens laten trekken uit bijvoorbeeld een "auto-simulator"-control-object.
Ik weet dat er duizend redenen te zijn om dit niet te willen. Maar ome 'bill' heeft dit helaas ooit zo beslist.
Helaas is de Adobe-Flash-player ook zo een ActiveX, en erger, de gebruiker moet GEEN toestemming geven voor het uitvoeren ervan. De plugin van flash is signed (adobe= trusted party) dus exel gaat het lekker uitvoeren. ... #fail
Hoe kan je dit voorkomen? Geen OLE/activeX objecten onderstuenen, zeker zijn dat exel volledig is dichtgetimmerd en zeker zijn dat het OS (windows) zeker is dichtgetimmerd. Een PC met extreme firewall: ieder data-pakketje moet dan ge-analyseerd worden, zodat er nooit ongewenste gegevens naar buiten kunnen.
ik vraag me eerder af hoe het kan dat bijv. flash is geinstalleerd op een dergelijke bedrijfscomputer. ik zou flash niet eens op mijn netwerk willen hebben aangezien dat geen nuttige voordelen biedt voor de werkzaamheden die op het systeem nodig zijn om te doen.
Helaas is het ook zo dat er vaak vanuit een laptop van een werknemer welke deze ook prive gebruikt, wordt gewerkt en deze wordt aangesloten op het netwerk. in dat geval zou je dat kunnen voorkomen door een fysiek gescheiden draadloos netwerk voor die mensen. (wat ik ook heb aangemaakt bij mij op het werk)
Helaas is het ook zo dat er vaak vanuit een laptop van een werknemer welke deze ook prive gebruikt, wordt gewerkt en deze wordt aangesloten op het netwerk. in dat geval zou je dat kunnen voorkomen door een fysiek gescheiden draadloos netwerk voor die mensen. (wat ik ook heb aangemaakt bij mij op het werk)
Uit het artikel van f-secure:
Op zich is die embedded content een leuke feature, maar het zou zeker geen slechte zet zijn mocht Microsoft extra controle / beperkingen toevoegen om misbruik te voorkomen.why the heck does Excel support embedded Flash is a great question
Draait de organisatie dan ook nog steeds op Windows XP zoals in het voorbeeld te zien is? Het lijkt me dat je bij Windows Vista/7 een waarschuwing krijgt en de vraag je de installatie wil toestaan. Of zorgt de exploit ervoor dat ook dit niet zichtbaar is?
Sowieso toont het maar weer eens aan dat je niet zo maar bestanden moet openen van onbekenden. Die zin in de mail zou bij mij al voldoende alarm bellen af doen gaan om het bestand niet te openen. Een professionele organisatie stuurt nooit een mail met een enkele tekst regel zonder enige context uit.
Sowieso toont het maar weer eens aan dat je niet zo maar bestanden moet openen van onbekenden. Die zin in de mail zou bij mij al voldoende alarm bellen af doen gaan om het bestand niet te openen. Een professionele organisatie stuurt nooit een mail met een enkele tekst regel zonder enige context uit.
Het mag dan een IT firma zijn. Maar heeft vast genoeg personeel dat geen idee heeft wat ze aan het doen zijn. Bij heel veel mensen gaan de bellen niet rinkelen. zelfs niet als ze een slecht vertaald phising mailtje van de ING krijgen.
En dat is nu net 1 van de grootste problemen. Tegen echt gerichte aanvallen valt dmv algemene technieken weinig te beginnen. virusscanners zijn prima wanneer het om bekende problemen gaat. Nieuwe issues kunnen ze maar heel beperkt tegenhouden. Maar aangezien alles binnen een bedrijf ondertussen zo'n beetje met elkaar verbonden is, geldt vaak dat als je binnen bent je veel schade toe kan brengen. Als bedrijf zul je dus ook procedures moeten hebben en je belangrijke data niet binnen het bedrijf rond laten slingeren. En daar ontbreekt het vaak aan.F-secure stelt dat RSA deze aanval niet kon tegenhouden met alleen het up-to-date houden van beveiligingssoftware.
Wie zegt dat ze bij RSA hun belangrijke data lieten rondslingeren?
De hackers hebben volledige toegang gekregen tot de pc van een medewerker. Ook al zou die medewerker passwords hebben moeten gebruiken om toegang te krijgen tot belangrijke documenten, dan hadden hackers via keyloggers die passwords kunnen onderscheppen, of ze hadden gewoon mee kunnen lezen met alles wat de medewerker geopend had.
De hackers hebben volledige toegang gekregen tot de pc van een medewerker. Ook al zou die medewerker passwords hebben moeten gebruiken om toegang te krijgen tot belangrijke documenten, dan hadden hackers via keyloggers die passwords kunnen onderscheppen, of ze hadden gewoon mee kunnen lezen met alles wat de medewerker geopend had.
[Reactie gewijzigd door Left op maandag 29 augustus 2011 09:16]
Als je in win7 die notificaties uit hebt staan krijg je die niet 
Wat ik me nu afvraag: zit de exploit in Excel of in Adobe Flash? Of werkt het enkel via de combinatie van beide?
Edit: blijkbaar zit/zat de exploit in Flash en werd Excel enkel als Trojaans paard gebruikt.
Edit: blijkbaar zit/zat de exploit in Flash en werd Excel enkel als Trojaans paard gebruikt.
[Reactie gewijzigd door intGod op maandag 29 augustus 2011 09:11]
Exploit zit in flash, maar een flash bestand komt niet door de meeste spamfilters. vandaar het excel bestand.
Ik schrok toch even, maar gelukkig is het niet RSA dat gekraakt is maar RSA security.
Waarom is het toch altijd weer een Adobe product...
Het is niet de eerste keer dat Flash of Reader een exploit heeft.
Het zou goed zijn voor de veiligheid van het internet als bedrijven intern het gebruik van Flash en Reader van Adobe zouden verbieden.
Neem alleen al de manier hoe de beide producten geupdate worden. Je blijft vinkjes zetten. Een gedistribueerde uitrol kan dan wel. maar is voor beheerders een belachelijke klus om bij te houden. Adobe heeft nog nooit van autoupdate gehoord zoals b.v. Chrome dat doet.
Het is niet de eerste keer dat Flash of Reader een exploit heeft.
Het zou goed zijn voor de veiligheid van het internet als bedrijven intern het gebruik van Flash en Reader van Adobe zouden verbieden.
Neem alleen al de manier hoe de beide producten geupdate worden. Je blijft vinkjes zetten. Een gedistribueerde uitrol kan dan wel. maar is voor beheerders een belachelijke klus om bij te houden. Adobe heeft nog nooit van autoupdate gehoord zoals b.v. Chrome dat doet.
Ik krijg hier anders regelmatig auto-updates binnen van zowel Flash als Adobe reader.
Waar je vervolgens allemaal handelingen voor moet doen.
Een gebruiker moet niet hoeven te klikken, want dat is geen auto update. Ik mag elke keer weer aangeven dat ik het wil installeren en vinkje zetten dat ik akkoord ben met de gebruikersvoorwaarden.
Een gebruiker moet niet hoeven te klikken, want dat is geen auto update. Ik mag elke keer weer aangeven dat ik het wil installeren en vinkje zetten dat ik akkoord ben met de gebruikersvoorwaarden.
Nou.. allemaal handelingen 
Ik kan kiezen tussen "installeren" of "annuleren" dus dat valt best mee.
Bovendien wil ik die keuze ook hebben want wie zegt dat ik iedere update zomaar zonder meer wil installeren. Een aantal grote anti-virus bedrijven hebben al bewezen dat het soms beter is een update over te slaan.
Bron 1
Bron 2
Ik kan kiezen tussen "installeren" of "annuleren" dus dat valt best mee.Bovendien wil ik die keuze ook hebben want wie zegt dat ik iedere update zomaar zonder meer wil installeren. Een aantal grote anti-virus bedrijven hebben al bewezen dat het soms beter is een update over te slaan.
Bron 1
Bron 2
Ik begrijp het niet, hoe komt het dat Adobe zoveel security gevaren heeft?
Hier gekraakt via flash, de iPhone werd gekraakt via een pdf exploit, het pdf formaat zelf zit vol met beveiligingsrisicos, ...
Het is bijna zover gekomen dat Adobe deinstalleren effectiever is dan een antivirus installeren.
Hier gekraakt via flash, de iPhone werd gekraakt via een pdf exploit, het pdf formaat zelf zit vol met beveiligingsrisicos, ...
Het is bijna zover gekomen dat Adobe deinstalleren effectiever is dan een antivirus installeren.
PDF is inmiddels al een paar jaar een open standaard. Met PDF zelf is niets mis, het gaat om de implementatie ervan door Adobe in Adobe Reader.
Je zal in elk stuk software wel bugs en security holes vinden hoor. Als je software op zowat 90% van alle PC's ter wereld staat ben je alleen een iets leuker target. Adobe gaat er imho beter mee om dan Oracle (Java).
Je zal in elk stuk software wel bugs en security holes vinden hoor. Als je software op zowat 90% van alle PC's ter wereld staat ben je alleen een iets leuker target. Adobe gaat er imho beter mee om dan Oracle (Java).
In dat geval was de PDF reader van Apple, niet van Adobe.de iPhone werd gekraakt via een pdf exploit
Aan het formaat ligt het niet, het gaat om hoe goed de parser is. Volgens die redenatie moeten we snel van HTML en JavaScript af, daar komen immers de meeste exploits vandaan.
[Reactie gewijzigd door Dreamvoid op maandag 29 augustus 2011 10:13]
Op dit item kan niet meer gereageerd worden.
Onderwerpen
Populair: Android Tablets Samsung Websites en communities Mobiele telefoons Google Sony Microsoft Games Politiek en recht
© 1998 - 2013 Tweakers.net B.V. Contact Over Tweakers Jouw privacy Algemene voorwaarden Cookies
Tweakers wordt uitgegeven door De Persgroep en wordt gehost door True
