Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Je kunt ook een cookievrije versie van de website bezoeken met minder functionaliteit. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , reacties: 14, views: 21.686 •

Hackers wisten systemen van beveiligingsbedrijf Bit9 binnen te dringen en misbruik te maken van een certificaat dat gebruikt wordt om bestanden te markeren die als veilig te beschouwen zijn. Drie klanten van Bit9, dat ook voor de Amerikaanse overheid werkt, werden besmet.

Bit9 is een beveiligingsbedrijf dat software en diensten levert aan grote multinationals en de Amerikaanse overheid. De onderneming werkt voornamelijk met whitelists voor bestanden: systemen en netwerken van klanten draaien een client van Bit9 die software tegenhoudt en blokkeert als deze niet op de whitelist staat. Bestanden waarvan Bit9 garandeert dat ze veilig zijn worden gemarkeerd door middel van een certificaat en komen daarmee op de lijst van toegestane applicaties. Systemen en netwerken van klanten accepteren deze bestanden dan ook blindelings.

Hackers zijn er onlangs echter in geslaagd systemen van Bit9 binnen te dringen en een certificaat te misbruiken, meldt KrebsonSecurity. Klanten van Bit9 kwamen er achter dat malware hun netwerken was binnengedrongen die gemarkeerd was door de sleutels van Bit9 en daarmee als veilig werd beschouwd. Patrick Morley, ceo van het beveiligingsbedrijf heeft op zijn blog inmiddels toegegeven dat hackers ingebroken hebben bij zijn bedrijf.

"We hadden ons eigen product niet geïnstalleerd op een handjevol computers binnen ons netwerk", aldus Morley, die toegeeft dat zijn bedrijf de adviezen daarmee niet heeft opgevolgd die het zelf aan klanten geeft. Meer details over de hack en het misbruik geeft de topman verder niet. Het betreffende certificaat is inmiddels ingetrokken en volgens Morley zijn maatregelen genomen om herhaling te voorkomen. Whitelisten wordt door bedrijven als Bit9 als een antwoord gepresenteerd op de stortvloed aan nieuwe malware die verschijnt en die antivirussoftware nauwelijks kan bijbenen, maar de methode heeft zijn eigen zwakke punten.

Reacties (14)

Nou volgenmij werkt zowat elk beveiligings bedrijf met een whitelist en een blacklist.

Toch wel erg dat een virus zomaar certificaten kan stelen. Dan zou je gewoon bestem worden en je Virus-malware scanner reageert niet eens.
Nou volgenmij werkt zowat elk beveiligings bedrijf met een whitelist en een blacklist.
Hoe kun je met zowel een blacklist als een whitelist werken?

Een whitelist staat alles toe dat op de lijst staat, en verder niets.
Een blacklist staat alles toe dat niet op de lijst staat.

Je kunt dus enkel een van de 2 systemen gebruiken.

Deze inbraak doet denken aan die bij DigiNotar, in principe is dit exact hetzelfde verhaal met als uitzondering dat Bit9 gelukkig geen CA is.
Het zou kunnen door alles wat niet op de black- of whitelist staat als 'grijs gebied' te beschouwen, en de klant zelf te laten bepalen wat ze hiermee doen.

B.v.
Blacklist = altijd blokkeren
Whitelist = altijd toestaan
De rest = instelbaar (toestaan, blokkeren, of vragen)

Een regering zou typisch 'de rest' dan laten blokkeren hoop ik, maar een tech-bedrijf zal het misschien op 'vragen' instellen voor hun engineers die overal open source tooltjes vandaan moeten kunnen halen en niet steeds kunnen wachten op aanpassingen van whitelists als die centraal beheerd worden (ga ik maar even vanuit hier).

Of het gebruik van lijsten echt beveiligingsproblemen oplost is nog maar de vraag natuurlijk. als een van de sites op de whitelist 'besmet' raakt heb je nog steeds een probleem.
Je kunt dus enkel een van de 2 systemen gebruiken.Black list White list :Black list word gebruikt om zonder uitzondering toegang te weigeren.Content filter word gebruikt en daar naast de white list om toch toegang te geven aan wat de content filter onterecht tegen houd.
Een andere manier op om met black en white list te werken is om bestanden die op geen van beide listen staat te sandboxen zoals bijvoorbeeld Comodo Internet Security suite dat doet.
Niet helemaal. De hackers hebben niet toegang gehad tot het certificaat zelf. Ze hebben alleen hun malware bestand aan de bit9 whitelist kunnen toevoegen. Die whitelist wordt ondertekend door bit9 en door de clients binnengehaald..

Omdat de malware op de whitelist staat, wordt de malware dus niet geblokkeerd. De reden dat de hackers toegang tot de whitelist wisten te krijgen kwam omdat op enkele computers van bit9 hun eigen software niet was geinstalleerd en dat daardoor 'onbekende' code op de computer kon worden uitgevoerd..

Bij Diginotor hadden de hackers toegang tot het certificaat van Diginotor waarmee zij vervolgens zelf nieuwe certificaten konden ondertekenen. De functie van een CA en Bit9 is overigens wel hetzelfde: Het is een bedrijf welke jij vertrouwd en borg staat voor de acties van derden. Dat kan zijn een website (in het geval van een CA), maar ook een programma (whitelist)..
Beetje dus als die achterlijke Symantec community list, waarbij elke software wordt geblokkeerd als er niet enkele mensen zijn die em als 'goed' hebben bestempeld en waarbij 99 van de 100 gebruikers dan denkt dat de applicatie een virus bevat (omdat de melding simpelweg gewoon niet echt afwijkt van een werkelijke virusgevaar).. Daar sta je dan als klein bedrijf en klanten die dan klagen dat je nieuwe setup een virus bevat (omdat ze simpelweg de melding niet lezen, EN! het niet simpel is om de setup alsnog te kunnen starten want goh, waarom zouden we toch een knop erbij zetten dat je het toch wilt (zoals MS dat doet met hun IE).. Te schandalig voor woorden IMHO..
whitelist is alles wat door de automatische scans als onveilig of spam word beschouwd, maar wat vanuit bedrijfspolicy toch als veilig moet worden aangemerkt ...
Je kunt dus enkel een van de 2 systemen gebruiken.Black list White list :Black list word gebruikt om zonder uitzondering toegang te weigeren.Content filter word gebruikt en daar naast de white list om toch toegang te geven aan wat de content filter onterecht tegen houd.
Je kan prima een blacklist ťn een white-list hebben.

Whitelists zijn gewoon lijsten van wat expliciet (zonder uitzondering) door moet worden gelaten, blacklists zijn lijsten van wat expliciet moet worden geblokkeerd.

Als je natuurlijk entries hebt die op de blacklist ťn de white-list staan, heb je een probleem, maar als dat niet zo is, kunnen de twee systemen prima naast elkaar bestaan.

AdBlock Pro heeft ook een 'standaard' blacklist van advertentieproviders, terwijl je als gebruiker weer bepaalde sites of ad-providers (zoals Tweakers :+) kan white-listen.

Alles wat niet op de black-list of de white-list staat krijgt de standaard-behandeling die apart te programmeren is, afhankelijk van beleid. Doorlaten, blokkeren, aan de gebruiker vragen of bijvoorbeeld doorsturen naar een andere machine/applicatie.
Het ligt aan het programma wat er gebeurt als een item op beide lijsten staat.
Het zal geen probleem zijn, een crash zal alleen voorkomen als dit zo bewust geprogrammeerd is, anders kiest het programma gewoon een van de opties: doorlaten of blokkeren.
Voor de gebruiker kan dit wel een probleem zijn inderdaad, daarom zal dit ook afgevangen moeten worden in een normaal en niet te simpel systeem.
Dus bijvoorbeeld: vragen of doorlaten of blokkeren (of crashen maar dat lijkt me apart :) ).
@thekip:
Mijn website / server had ook zowel een whitelist als een blacklist.

Whitelist: Alles wat toegestaan was, zonder interventie.
Blacklist: Alles wat niet toegestaan was, zonder interventie.
Greylist: Alles wat niet op bovenstaande lijsten stond, interventie (toestemming) vereist.
Ik zal het maar kopieren
"We hadden ons eigen product niet geÔnstalleerd op een handjevol computers binnen ons netwerk", aldus Morley, die toegeeft dat zijn bedrijf de adviezen daarmee niet heeft opgevolgd die het zelf aan klanten geeft.

Op dit item kan niet meer gereageerd worden.



Populair: Websites en communities Smartphones Google Beheer en beveiliging Sony Microsoft Games Politiek en recht Consoles Besturingssystemen

© 1998 - 2014 Tweakers.net B.V. Tweakers is onderdeel van De Persgroep en partner van Computable, Autotrack en Carsom.nl Hosting door True

Beste nieuwssite en prijsvergelijker van het jaar 2013