Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Je kunt ook een cookievrije versie van de website bezoeken met minder functionaliteit. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , reacties: 17, views: 16.789 •

Veel security-appliances, kant-en-klare apparaten met daarop beveiligingssoftware, zijn onveilig, ontdekte een beveiligingsonderzoeker. Tachtig procent van de geteste producten, onder andere van Sophos, Symantec en Trend Micro, was relatief eenvoudig te kraken.

Fabrikanten van dergelijke appliances bieden hun producten vaak aan als apparaten met sterk beveiligde Linux-installaties, maar daar is weinig van waar, zo zei beveiligingsonderzoeker Ben Williams op Black Hat Europe tegenover Computerworld. In veel gevallen waren het slecht geconfigureerde Linux-installaties met verouderde kernelversies, en onnodige en verouderde software. De meeste appliances bevatten bovendien slecht beveiligde webinterfaces.

Tachtig procent van de appliances die Williams onder de loep nam, was relatief eenvoudig te kraken. Tijdens zijn presentatie op Black Hat toonde Williams bewijzen van kwetsbaarheden in producten van Sophos, Symantec en Trend Micro. De meeste webinterfaces hadden geen ingebouwde bescherming tegen het kraken van wachtwoorden met brute kracht, door grote hoeveelheden wachtwoorden in te voeren.

Ook bevatten de webinterfaces regelrechte bugs, zoals cross site scripting-bugs die het mogelijk maakten om sessies te kapen. Zo kan bij sommige e-mail-appliances een e-mail worden geprepareerd met code die zichzelf uitvoert zodra de beheerder de e-mail opent, bijvoorbeeld als die wordt gemarkeerd als spam.

Vaak was ook cross site request forgery mogelijk. Csrf maakt het mogelijk om vanaf de ene website commando's uit te voeren op de andere website. Een eventuele aanvaller zou een beheerder van een appliance ertoe kunnen verleiden om een speciaal geprepareerde website te bezoeken, die vervolgens via de url een commando uitvoert op de appliance.

De onderzoeker tekent verder aan dat de helft van het onderzochte materieel de webinterface vanaf het openbare internet toegankelijk maakte, wat het veel kwetsbaarder voor aanvallen maakt. Hij denkt niet dat de kwetsbaarheden massaal worden misbruikt, maar voor doelgerichte aanvallen op bepaalde organisaties zouden ze goed van pas kunnen komen.

Reacties (17)

Op zich verbaast het me weinig. Men heeft de indruk dat security = security.

Echter.. de ontwikkelaar van een stuk software (dat uiteindelijk opgeleverd wordt in een apparaat) dat bestemd is voor het beheren van antivirusdefinities in een netwerk, of voor inbraakdetectie, hoeft zelf (in theorie) helemaal geen kaas gegeten te hebben van veilig programmeren. Handig? Nee! Mogelijk in de praktijk: natuurlijk! Al was het maar omdat veel producten die door de grote jongens (Symantecs, Trend Micro's, etc) op de markt worden gezet dikwijls door andere bedrijven zijn geproduceerd. Dan wel in opdracht, dan wel voordat ze opgekocht werden. Vaak gaat hier een eigen sausje (lees: interface met logo) overheen en het product is klaar om verkocht te worden.

Natuurlijk stikt het hier van de ironie en zouden bedrijven die pretenderen security solutions te verkopen in hun diepste worstels van security doordrenkt moeten zijn maar het is geen automatisme. Veilig programmeren is een vak apart. Of een zijstraat: veilige logistiek is een vak apart. Neem bijvoorbeeld appliances die gebruikt worden voor hardwarematige encryptie -> als zo'n ding tussen de productiefabriek en de installatie bij de klant "compromised" raakt dan zijn alle sleutels die erin opgeslagen worden, niets meer waard. Maar veilig transport staat volledig los van het op een veilige manier programmeren van de software die erin staat.

Ook security is gewoon business voor deze bedrijven, geen "way of life".

Edit Misschien nog een interessant concreet voorbeeld. Onlangs vernam ik van een bedrijf dat systemen aanbiedt voor het beheer van websites (CMS). Het betreffende CMS bevat ook koppelingen met "gevoelige modules" (denk hierbij aan een iDeal / DigID / etc). De beheerinterface ontbeerde volledig de mogelijkheid om wachtwoordpolicies (zoals duur en complexiteit) toe te passen. Met welke reden was dit? Omdat het geen noodzakelijke basisfunctionaliteit betrof ten tijde van het originele ontwerp (jaren terug) en het inbouwen ervan op een later moment geld kost. En als bij een commercieel bedrijf een feature geld kost dan moet dit terugverdiend worden, bv d.m.v. doorberekening aan de eindklant. En dan is de vraag: wie gaat het dan betalen? Bestaande klanten nafactureren? Gratis opnemen in een update en het uit eigen zak betalen? Nieuwe klanten een hoger tarief voorschotelen? Zolang dat vraagstuk niet duidelijk is en security niet expliciet onderdeel is van de bedrijfsfilosofie (zoals MVO dat zou kunnen zijn), blijft de functie ontbreken.

Hetgeen dat denk ik hier ook uit naar voren komt is niet zozeer dat "de beveiliging" beter moet maar dat dergelijke bedrijven moeten denken aan imago en gezichtsverlies. Immers: als security vendor kan je dit toch eigenlijk niet uitleggen aan je klanten?

[Reactie gewijzigd door Eagle Creek op 15 maart 2013 12:33]

+2 Op deze manier gooien ze hun naam te grabbel, en als je je goede naam kwijt bent, krijg je hem niet makkenlijk meer terug. En het enige wat deze bedrijven hebben is hun imago, als ze dat kwijt zijn hebben ze bijna niets meer..

Zie: Diginotar en AVG
Wat is er met de reputatie van AVG? Diginotar was van certificaten.
Maar AVG heb ik gemist?
Die hebben inmiddels inderdaad de reputatie dat ze net iets te vaak kritieke systeembestanden in quarantaine gooien, zodat je systeem niet meer opstart. Dat gebeurt iedereen wel eens, maar AVG heeft het al een paar keer gedaan en dat kost je inderdaad punten.
Twee keer hebben ze aangetoond hun updates niet te testen, tevens hebben ze onbedoeld het nieuws gehaald met hun WP app.
[offtopic]
AVG heb ik inmiddels in de ban gedaan om de vele false positives die ik ermee heb ervaren, nog naast de inderdaad slechte ervaringen met de updates die complete systemen liet crashen / bevriezen / etcetera.

Omdat het veelal stond op de computers die ik mag onderhouden voor mensen die het doorgaans al spaans benauwd krijgen bij de melding 'Updates beschikbaar' en dus minder tot geen enkele sjoege hebben van dit soort zaken en om het op te lossen ben ik over gegaan op een andere, ook gratis beschikbare virus scanner.

[ontopic]
Het probleem is met de apparaten die als 'stand-alone' beveiliging door moeten gaan inderdaad vaak over geslagen worden wat updates en firmwares betreft, zij het door de gebruiker maar kwalijker nog, door de leverancier / fabrikant.

[Reactie gewijzigd door sleezball op 15 maart 2013 13:05]

Veel zal natuurlijk afhangen van hoe je met zo'n product om gaat. Standaard zal zo'n product 'gebruiksvriendelijk' ingesteld zijn. Afhankelijk van de mogelijkheden die het product heeft en hoe je hem kunt configureren, zullen deze applicaties wel wat veiliger worden als hierboven gesteld wordt.

Een van de eerste dingen die je iig moet doen is 'de laatste versie' van firmware/software downloaden.

[Reactie gewijzigd door dukejunior op 15 maart 2013 11:43]

De appliances staan vaak op de voorgrond. Dat er geen beveiliging inzit voor het tegen gaan van aan brute-force is dan wel kwalijk.

De makers van de appliances kunnen meer doen dan "gebruiksvriendelijk" instellen. Denk aan het forceren van een moeilijk wachtwoord bij eerst opstart van de appliances. Vooral met security appliances vind ik dat de fabrikanten de security hoog moeten instellen en niet gebruiksvriendelijk.

Hier de whitepaper van Ben Williams:
http://www.nccgroup.com/m...aper_ben_williams_1.1.pdf
Ik zou beveiliging liever op een heel ander niveau aan willen pakken. Het probleem met de hedendaagse software is dat het gewoon *veel te veel* is. De linux kernel bestaat tegenwoordig uit 15 miljoen regels code. De apache webserver 1.5 mln. Hoe debug je dit?

Het liefst zou ik, heel erg simplistisch, 2 executables (zonder shared libs) willen zien: de kernel en de webserver. De kernel zorgt voor de functionaliteit van het apparaat en de webserver voor de input/output. Voor wat betreft de webserver, dit is heel goed mogelijk. Zie bv http://golang.org

quote:
"There are two ways of constructing a software design: One way is to make it so simple that there are obviously no deficiencies and the other way is to make it so complicated that there are no obvious deficiencies."
-- C.A.R. Hoare, The 1980 ACM Turing Award Lecture

[Reactie gewijzigd door 505261 op 15 maart 2013 12:56]

Debuggen? Er is zoveel mis met de apparaten zelf (toegankelijk vanaf internet, web interface standaard ingeschakeld, etc) dat het debuggen van 'vanilla' componenten zoals een bekende webserver of kernel een van de laatste zaken is waar je je druk om hoeft te maken.

De Linux kernel wordt op miljoenen apparaten en machines gebruikt, eveneens webservers zoals lighttpd of apache. De meeste problemen worden niet veroorzaakt door fouten in de code, maar door fouten in de configuratie.. en dat ondervang je bijna nooit met debuggen..

Beveiligings apparaten kunnen NOOIT gebruiksvriendelijk zijn. Want zodra je iets gemakkelijk kan stopt men met nadenken waar men mee bezig is.

Als je bijvoorbeeld eerst de https web interface (http mag gewoon niet op een router of firewall) moet inschakelen via ssh wordt je gedwongen om na te denken of je wel wilt dat de web interface beschikbaar is. Beheer interfaces mogen natuurlijk nooit op afstand te benaderen zijn. Dat is een security no-go. Wil je op afstand bij je servers kunnen, dan moet je zorgen voor een IPSEC VPN verbinding. En over die verbinding kun je dan het apparaat of machine benaderen..

Als je als gebruiker geen verstand hebt van beveiliging, dan kun je deze ook niet instellen. Apparaten moeten standaard dus volledig dicht staan en bij elke actie welke impact heeft dient duidelijk te staan wat eventuele gevolgen kunnen zijn van die aktie.

Maar ja, het is nou eenmaal niet gebruiksvriendelijk als een eindgebruiker eerst putty moet downloaden om de webinterface van zijn router te activeren. Maar het is wel een stuk veiliger..
Putty is denk ik de bekendste SSH client voor Windows. SSH is een beveiligde telnet sessie.

Debuggen van software heeft alleen zin als je weet dat het probleem in de software zit.
Firewalls, routers en andere infrastructuur servers worden zelden gehackt door bugs in de software, maar vrijwel altijd door configuratie fouten.

Beveiliging is niet simpel. De belangrijkste tool voor beveiligers is common sense. Dus begin je om de beheer toegang tot een minimum te beperken en zet je extern verkeer uit in het geval van een router. Hoeveel kant en klare producten (inclusief grote namen zoals Cisco en Juniper) ken jij die dat standaard doen?

Weleens naar een standaard iptables firewall script gekeken? Die beginnen allemaal met een drop op de input chain voor extern verkeer.

Ik heb inmiddels zeer veel WiFi access point producten gezien. Geen enkel AP heeft als default policy dat de beheer interface alleen via een bedraad netwerk toegankelijk is.

Beveiliging is de kunst om zo min mogelijk toe te staan. Als je het artikel leest zeggen dat onderzoekers ook niet dat de apparaten slecht zijn, ze zeggen alleen dat de configuratie super slecht is. Web interface bereikbaar vanaf internet, ongelimiteerd aantal password attempts zonder afkoel periode (bijv. max 5 pogingen vanaf een enkel ip per 10 minuten en anders 24 uur blokkade), CSRF op post elementen, etc.

Met andere woorden: als je de web interface standaard uitzet zijn de apparaten WEL veilig..
Tsja, dat zou misschien in principe wel goed zijn, maar feit is dat het eisenpakket anders is. Er zijn bergen features die door een (kleiner of groter) deel van de gebruikers als onontbeerlijk gezien worden. Deze "moet" je aanbieden, nu kan je alles extra erbij gaan compileren zodat iedereen een eigen minimale installatie krijgt, maar je totale code base wordt er niet kleiner van. Dus wat is het nut dan?

Dat je een kleine basis zou willen hebben is leuk, maar het is gewoon Realitätsverweigerung.
We hebben het toch over beveiligingssoftware? Waarom zou dit 1001 features moeten bevatten? Maar het is een mind-setting. De markt vraagt er nu eenmaal om.
Men denk eerst aan de centen, en de veiligheid dat kunnen nog weleens bespreken.
Ondertussen draait het systeem in de soep, dank u wel hoor.
Voor bedrijven is het hebben van een appliance een goede zaak. Maar er is een keerzijde. Gebruikers gaan er vervolgens van uit dat 'lekker veilig' zijn en veronachtzamen vervolgens allerlei belangrijke zaken als patch management, updates en 'awareness'. Vooral dat laatste is gevaarlijk, want niet iedereen begrijpt de risico's van handelingen in relatie tot de geboden beveilging.
Soms wordt aangenomen dat het hele netwerk veilig is, terwijl alleen de firewall (= beveiliging) het verkeer van buiten in de gaten houdt.
Mijn stelling; een appliance is op die manier een gevaar, want we wanen ons veilig en doen daardoor onveilig.
Hier wordt de indruk gewekt dat het hardware betreft. Sophos heeft Astaro overgenomen, een fabrikant van UTM's, dat is inderdaad hardware. Trend Micro echter heeft v.z.i.w. geen hardware, maar had wel software appliances (zoals de geteste IMSS, tegenwoordig alleen virtuele appliances die direct op de ESX-laag worden geïnstalleerd.

Het rapport staat hier: http://www.nccgroup.com/m...aper_ben_williams_1.1.pdf

[Reactie gewijzigd door PcDealer op 16 maart 2013 14:05]

Op dit item kan niet meer gereageerd worden.



Populair: Vliegtuig Luchtvaart Smartphones Google Laptops Sony Apple Games Wetenschap Politiek en recht

© 1998 - 2014 Tweakers.net B.V. onderdeel van De Persgroep, ook uitgever van Computable.nl, Autotrack.nl en Carsom.nl Hosting door True

Beste nieuwssite en prijsvergelijker van het jaar 2013