Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 49 reacties

Criminelen wisten diverse computersystemen van Icann binnen te dringen. Icann heeft naar aanleiding daarvan alle wachtwoorden op zijn Centralized Zone Data System gereset. De aanvallers kwamen binnen door via phishing wachtwoorden van medewerkers te achterhalen.

IcannHet was een gerichte aanval: de phishing-mails leken afkomstig van Icanns eigen domein, schrijft de organisatie die tld's beheert. Daardoor zijn diverse medewerkers erin getrapt en hebben de aanvallers hun wachtwoorden te pakken gekregen. Daarmee zijn ze binnengedrongen in het Centralized Zone Data System en in de Gac Wiki.

Bij de inbreuk op het CZDS hebben de aanvallers gegevens van gebruikers van dat systeem buitgemaakt, waaronder versleutelde wachtwoorden. Daarom heeft Icann alle wachtwoorden gereset. Daarnaast heeft de organisatie nog meer, niet nader genoemde beveiligingsmaatregelen genomen na de hack. De hack vond eind november plaats.

Moderatie-faq Wijzig weergave

Reacties (49)

Het personeel blijft de zwakste schakel.
Ik blijf van mening dat personeel die toegang heeft tot bedrijfsgevoelige informatie bv met een extra veiligheidsmaatregel dienen in te loggen. Bv met een securid of met digipass. Dan kunnen ze wel het ww afvangen maar dan hebben ze er niets aan.

Dat moeten wij ook namelijk binnen ons bedrijf. Als je op het internet wilt zitten met je bedrijf zal je gewoon dit soort zaken moeten implementeren. Anders is het afwachten totdat dit soort acties voorbij komen.
En dan neem je weer miep van om de hoek aan, die wel even voor een hacker aan haar buurman vraagt om de securid even voor haar in te voeren voor dat bewuste emailtje, want voor miep is het te lastig om dat te gebruiken?

Een digipass of securid gaat het personeelprobleem natuurlijk niet oplossen.

Het gaat er toch om WIE je inhuurt uiteindelijk.
Het is een combinatie van....Je hebt altijd baas boven baas. Niets is 100% secure maar met zo een securid bv zet je wel even de lat op de bovenste grens.
Hiermee voorkom je password hacks, database diefstaal met wachtwoorden of men in the middle attacks. Als een gebruiker ook gevraagd word om zijn securid te geven dan is deze zoiezo te dom voor woorden en niet geschikt voor zijn functie..
Ach joh, herinner je je dat gepubliceerde onderzoek nog over Afghanistan?

Onze soldaten namen het niet zo nauw met de security daar en communiceerden ook confidentiele, zeg maar gewoon geheime, informatie over mobiele telefoons heen, die gewoon afgeluisterd werd aldaar door de vijand.

Terwijl bij de veelvuldige aanwezige MIVD medewerkers daar 0 fouten geconstateerd werden.

Probleem bij bedrijven is dat miep om de hoek dus 2500 euro bruto per maand verdient. Dus als bedrijf kost je dat zo rond de 5000 euro per maand bruto, terwijl een ex- MIVD ICT consultant die bij je komt werken gelijk als consultant 95 euro per uur doet, of te wel daar ben je per saldo 25k euro per maand aan kwijt.

Dan mag JIJ raden wie aangenomen wordt bij zo'n saai simpel bedrijf al waar het hierboven om gaat. Miep kan dat werk ook prima doen hoor! En als er weer eens wat geroofd is, dan beloof je dat te verbeteren en op te lossen. Het voordeel waar je als bedrijf dan van profiteert is dat diefstallen meestal niet zo snel uitkomen...
je zou denken dat mensen beter weten dan dat
Je zou denken dat toegang tot die systemen zo goed ontworpen is dat mensen niet beter hoeven te weten...
Je zou denken dat toegang tot die systemen zo goed ontworpen is dat mensen niet beter hoeven te weten...
Die gedachte (die blijkbaar bij velen leeft) is juist de reden dat mensen de zwakste schakel zijn. Een (onterecht) vertrouwen hebben in de techniek en het uitschakelen van gezond verstand is een recept voor problemen.
Het gezonde verstand moet bij het ontwikkelen van de technologie worden toegepast.

Edit: Toevoeging:
.. zodat leken die de software gebruiken zo min mogelijk geconfronteerd worden met beslissingen die invloed op zaken als veiligheid kunnen hebben.

[Reactie gewijzigd door koelpasta op 18 december 2014 15:43]

Ook bij gebruik ervan. Zolang mensen met technologie werken zal dat zo blijven. Pas bij volledige automatisering valt de menselijke factor weg, en zelfs dan bestaat die nog steeds bij ontwikkeling. Maar ook dan is gezond verstand nodig bij het beheer van die geautomatiseerde systemen, aangezien er altijd IEMAND is met toegang. En beheer zal altijd blijven bestaan, we willen toch echt wel weten of wat we bedacht hebben goed werkt en blijft werken.

Uiteindelijk is niets waterdicht en dat zal het ook nooit gaan worden, dus de menselijke factor blijft altijd van betekenis, daar ben ik heilig van overtuigd. Totale autonomie is ook ongewenst, zie Matrix.

[Reactie gewijzigd door Vayra op 18 december 2014 13:24]

Ook bij gebruik ervan.
Ja, absoluut. Maar dat is tegenwoordig dus vooral nodig omdat de systemen die door veel mensen worden gebruikt niet aan bepaalde voorwaarden voldoen.
Het punt is een beetje dat goede security helemaal niet leuk is voor de gebruikers.
Maar ook dan is gezond verstand nodig bij het beheer van die geautomatiseerde systemen, aangezien er altijd IEMAND is met toegang.
Dat is zeker waar. Maar dit neemt niet weg dat je een hele hoop hedendaagse aanvalsmethodes kunt wegnemen door bijvoorbeeld specifieker met toegangsrechten om te gaan.
Wat er in werkelijkeid gebeurt is dat bijvoorbeeld een CBP (college bescherming persoonsgegevens) intern en extern bakken met persoonsgegevens rondmailt alsof het niks is. Allemaal vanwege gemak. Zoiets moet in de kiem gesmoord worden want mensen maken het zich altijd zo gemakkelijk mogelijk, zeker als er niet veel geld beschikbaar is.
Uiteindelijk is niets waterdicht en dat zal het ook nooit gaan worden,
Dat betekent niet dat je het niet zo goed mogelijk moet proberen.

[Reactie gewijzigd door koelpasta op 18 december 2014 13:53]

Zoals Vayra al zei: Ook bij gebruik. Een haardroger is ook technologie, daar gebruik je ook je gezond verstand bij (elektrocutiegevaar). Of een oven, gezond verstand => ovenwanten aandoen. Auto rijden? Gezond verstand vereist (hoewel ik daar m'n twijfels bij heb als ik rondkijk op de baan...).
Zoals Vayra al zei: Ook bij gebruik.
Ja, mee eens. Wat ik probeer te zeggen is dat het in de basis, in het product zelf, al vaak misgaat.
Een haardroger is ook technologie, daar gebruik je ook je gezond verstand bij (elektrocutiegevaar).
Ja, dat is dus een fout die we met zn allen maken in de maatschapij.
Het gaat hier om dingen die gelijk op heel veel mensen van invloed kunnen zijn. Dat is dus niet een enkele haardroger waar ieder zn eigen verantwoordelijkheid voor neemt. Het gaat om grote hoeveelheden gevoelige data. Wat als ze bijvoorbeeld wat DNS entries wijzigden waardoor je uitkomt op een scamsite als je naar een overheidssite probeert te gaan?
We vergeten te vaak na te denken over het belang van bepaalde instituties in de maatschapij en het risico dat gelopen wordt door ze matig te beschermen.
Heel veel van de IT die ik tegenkom kan gewoon niet in deze tijd.
Heel veel van de IT die ik tegenkom kan gewoon niet in deze tijd.
Goed gezien! We zijn echt nog niet klaar voor DigiD en dat soort toestanden. Volgend jaar komt er nog meer DigiD bij, de lat wordt hoger gelegd, oude systemen worden uitgefaseerd (gooi nooit je oude schoenen weg voordat je nieuwe hebt). Ook voor OV-chip geldt hetzelfde. Watje gaat krijgen is meer ellende, de overheid legt de schuld neer bij de IT-bedrijven, burgers die niet goed met de PC kunnen krijgen extra druk en stress om hun software te updaten, burgers die niet veel geld hebben moeten klusjesmannen betalen om de PC te onderhouden of betalen voor virusscanners, burgers moeten elkaar helpen bij computerproblemen (participatiesamenleving) etc. En wie is ervoor verantwoordelijk? Juist: de burger en de IT-bedrijven. De ministers konden er niets aan doen, want er was sprake van voortschrijdend inzicht (fluister: maar jij en ik hadden dat inzicht al voordat het systeem volledig was ingevoerd).
Technische maatregelen hebben geen enkele zin als de gebruiekrs onwillend zijn.
"Wat baten kaars en bril, als de uil niet zienen wil?"
Als je gebruikers onwillend zijn, moet je je beveiligde data er niet aan toevertrouwen.
"wat mij dan weer doet vrezen, wie laat een blinden uil in 't donker lezen?"
"Het was een klaarlichte nacht. Op de hoek van een ronde tafel zat een blinde grijsaard van zeven jaar oud, bij het licht van een uitgedoofde kaars te lezen in een dichtgeslagen boek."

Probleem is je hebt mensen nodig en mensen maken nu eenmaal fouten.
Als je mensen heel specifiek weet te targetten dan zijn er zeker bij die in de val zullen trappen.
Yup, je hebt altijd mensen die vertrouwen op de schone prins op het witte paard :)
Technische maatregelen hebben geen enkele zin als de gebruiekrs onwillend zijn.
Mischien als je technische maatregelen neemt die van menselijke wil afhankelijk zijn, ja. Of als je geld probeert te besparen en het gewoon niet goed genoeg doet.
Dat spear phishing werkte betekent dat er toch echt wat communicatielijnen door elkaar liepen/lopen en dat de ICANN zn eigen positie niet zo serieus neemt of niet genoeg geld heeft om het serieus te nemen.
Je zou denken dat toegang tot die systemen zo goed ontworpen is dat mensen niet beter hoeven te weten...
Als dat zo was, dan zou dat systeem voor de mens denken. Wat krijg je dan:
  • navigatiesysteem: je vertrouwt er volledig op waardoor je diep in de nacht midden in de bocht niet had gerekend op een afgesloten weg waardoor je met je auto in de rivier belandt;
  • rekenmachine: je vertrouwt er zo op dat het antwoord van de rekenmachine klopt, dat je er niet bij nadenkt dat je een verkeerde toets zou kunnen hebben ingedrukt, waardoor het antwoord niet klopt met datgene waar je naar op zoek was;
  • DigiD/overheidssysteem: de politieagenten vertrouwen er volledig op dat datgene wat de computer zegt klopt: dus als de computer (vanwege identiteitsfraude of wat dan ook) zegt dat jij een crimineel bent, dan vertrouwen de agenten op het "woord" van de computer in plaats van te vertrouwen op hun eigen instinct.
Conclusie: het is zeer lastig om een zeer betrouwbaar computersysteem te bouwen dat ook nog eens door leken moet worden gebruikt. De mens moet altijd het resultaat van een computer controleren. De valkuil is namelijk:
  • Als ik een hamer gebruik, dan kan ik hard slaan want de hamer is hard.
  • Als ik een auto gebruik, dan kan ik me snel verplaatsen, want een auto rijdt snel.
  • Als ik een computer gebruik, dan maak ik geen fouten, want een computer maakt geen fouten.
Dit is niet helemaal waar ik het over had.
Ik heb nergens aangegeven dat dit voor alle systemen zo kan of moet werken.
Waar ik met name op doel is dat veel systemen en de implementatie daarvan vaak onnodig veel laten liggen wat betref security. Er wordt structureel te makkelijk over gedacht.
Bij zoiets als een spear phishing aanval bij de ICANN wordt er misbruik gemaakt van een menselijke side channel. De mensen gaan intern blijkbaar dwars over systemen heen wat eigenlijk nooit had mogen gebeuren en al door het systeem, de manier van werken, afgevangen had kunnen worden.
Een geval als ' log hier even in om het nieuwe systeem te testen' kan gewoon niet. Daar horen allerlei checks voor te zijn geimplementeerd om dit soort dingen te voorkomen.
Met 'systemen' bedoel ik ook niet persee software, maar de manier van organiseren en hoe ICT daar een rol in speelt.

En natuurlijk moeten we aan de gebruikerskant blijven opletten, maar gezien de vaak brakke staat van de ondeliggende architectuur is het dweilen met de kraan open. Het soort problemen die hierdoor kunnen ontstaan zijn voor de meeste mensen die in dat systeem werken niet in te schatten. Vandaar dat je dat beter van te voren kunt bedenken en middels structuur implementeren i.p.v. erop te vertrouwen dat Truus, die net een weekje op die plek werkt, snapt wat er security-wise van haar wordt verwacht en wat de implicaties kunnen zijn van haar gedrag.
Ik zeg dus niet dat we Truus niet moeten laten nadenken, ik vind alleen dat we zo min mogelijk van dit soort beslissingen bij haar moeten neerleggen. Dat betekent wel dat Truus waarschijnlijk een saaiere baan zal hebben en ze zich meer aan regeltjes moet conformeren en dat dit ook gechecked wordt. Maar dat zijn allemaal gevolgen van het willen automatiseren.

[Reactie gewijzigd door koelpasta op 18 december 2014 15:41]

navigatiesysteem: je vertrouwt er volledig op waardoor je diep in de nacht midden in de bocht niet had gerekend op een afgesloten weg waardoor je met je auto in de rivier belandt;
Gebeurt nu al.
rekenmachine: je vertrouwt er zo op dat het antwoord van de rekenmachine klopt, dat je er niet bij nadenkt dat je een verkeerde toets zou kunnen hebben ingedrukt, waardoor het antwoord niet klopt met datgene waar je naar op zoek was;
Hoevaak ik dit niet zie gebeuren ;)
DigiD/overheidssysteem: de politieagenten vertrouwen er volledig op dat datgene wat de computer zegt klopt: dus als de computer (vanwege identiteitsfraude of wat dan ook) zegt dat jij een crimineel bent, dan vertrouwen de agenten op het "woord" van de computer in plaats van te vertrouwen op hun eigen instinct.
Zoals banken die gewoon 'njet' zeggen als de computer zegt dat je geen krediet krijgt zonder de huidige status te bekijken? En als de kompjoeter in het commissariaat zegt dat je gezocht wordt om god weet welke reden, gaan ze daar ook op reageren, en daarna pas vragen stellen.
[...]
Gebeurt nu al.

[...]
Hoevaak ik dit niet zie gebeuren ;)

[...]
Zoals banken die gewoon 'njet' zeggen als de computer zegt dat je geen krediet krijgt zonder de huidige status te bekijken? En als de kompjoeter in het commissariaat zegt dat je gezocht wordt om god weet welke reden, gaan ze daar ook op reageren, en daarna pas vragen stellen.
Juist. En daarom zijn we nog niet klaar voor DigiD, LSP, EPD, OV-chip en weet-ik-veel wat voor andere automatisering. Eerst een goede basis, daarna automatisering.
mensen op zich niet, maar toch wel de mensen die daar werken met toegang tot zulke kritische systemen
tja, als een mailtje afkomstig lijkt uit je eigen bedrijf dan let je sowieso niet zo goed op..
2 way verificatie is gewoon het beste. Phising mail is nou eenmaal "lastig" te herkennen voor de gemiddelde werknemer.
Voorbeeld:
Je werkt bij neckermann
Ineens krijg je een mail met een verzoek om in een nieuwe bookingtool in te loggen met je huidige gegevens om te kijken of deze 1 op 1 over gaan. Niks geks toch?

Echter komt dit mailje van een @neckerman.nl domein. (bijvoorbeeld)
Er zijn weinig werknemers die een "N" missen aan het einde en vullen zonder problemen hun huidige gebruikersnaam & wachtwoord in op deze nieuwe "tool".

Bingo, Neckermann "gehacked"...

Zo moeilijk is het niet.
Ineens krijg je een mail met een verzoek om in een nieuwe bookingtool in te loggen met je huidige gegevens om te kijken of deze 1 op 1 over gaan. Niks geks toch?
Zonder van te voren doorgesproken te zijn? Heel gek!
Dat jij het als niks geks aanmerkt legt de vinger precies op de zere plek. Neckerman zou nooit op die manier mogen communiceren met zn werknemers en die zouden dit ook direct moeten melden. Er zou veel meer in procedures moeten worden vastgelegd die enige veiligheid garanderen. Zo even op een mailtje reageren is eigenlijk not done vauit security oogpunt, maar wordt wel vaak verwacht van een weknemer. Dan kun je wachten op misbruik.
" Zo even op een mailtje reageren is eigenlijk not done vauit security oogpunt, maar wordt wel vaak verwacht van een weknemer. Dan kun je wachten op misbruik."

Dit is waarom het "niks geks is"
En ook precies waarom 2 way verification standaard zou moeten zijn.
Aan de ene kant wil je als bedrijf snel aanpassingen kunnen doen, maar dit moet wel veilig gebeuren. Aan de andere kant moet je de juiste procedures volgen. iets waar veel bedrijven lak aan hebben, dus ook gelijk de bietenbrug op gaan.
Vaak hoef je het nog niet eens met een fake domeinnaam te doen. Als er in de DNS registratie van een domein geen SPF record opgenomen is dan kun je als spammer heel gemakkelijk de mail laten bouncen (simpel versturen naar een niet bestaand adres) zodat de mail weer terug gaat naar de afzender via relay'ing.

http://en.wikipedia.org/wiki/Sender_Policy_Framework

Op die manier krijg je dus spammail uit je eigen account/domein binnen vanuit een externe SMTP server.
Hèhè, die eerste die ik erover hoor.

Eerste wat ik dacht dus was: Hmm vangt SPF of DKIM dit niet op? Of gebruikt ICANN dit gewoon niet? 8)7

Ik heb zoveel gezeur met SPF gehad laatste tijd omdat het maar 10 hosts ondersteund waardoor ik hier direct aan moest denken.
Het blijft mij verbazen dat alles zo lek als een mandje is tegenwoordig (en in het verleden). Het zou eens tijd mogen worden dat systemen zodanig goed software-matig modulair worden opgebouwd, dat ontwikkelaars door de bomen het bos blijven zien, en een kwetsbaarheid in het systeem vele malen makkelijker op te lossen is door een module te vervangen.

Edit: Iets te snel gecomment i.p.v. het artikel te lezen. Als nog veel hacks blijven gebeuren.

[Reactie gewijzigd door Mic2000 op 18 december 2014 11:59]

Dat gaat weinig helpen als mensen gewoon hun wachtwoord rondstrooien. Dan moet je two-factor authenticatie toepassen.
Dat is waar, ik had het artikel niet volledig gelezen. Ik doelde ook op wat ik met de Sony hack zie gebeuren. Er is zodanig veel ontwikkelingswerk, hoe groter de systemen des te meer haken en ogen het kan krijgen. Een modulair systeem zou vele malen meer ontwikkelgemak, duidelijkheid en snellere oplossingen kunnen brengen.
En zelfs dan nog, herinner me nieuwsbericht van tijd geleden, details zitten er misschien naast, maar grote lijn:
Bij ING werken ze met tan codes, nu was er een virus die met een popup kwam, weet niet zeker of hij zelfs vroeg om je wachtwoord of dat hij dat zelf wel logde. Maar goed dan kreeg je SMS'je met een code voor een overboeking, en die popup vroeg netjes of je die code wilde invoeren. En genoeg mensen deden dat.

Oftewel leuk two-factor-authentication, en het zorgt er iig voor dat je normaal gesproken maar één sessie toegang heb per keer dat je iemand zover krijgt om hem in te vullen, maar die sessie krijg je nog wel gewoon.

Voorbeeld in dit geval: Maak een phising mail die linkt naar een nep inlogpagina, inclusief het de two-factor-authentication code (van RSA token bijvoorbeeld). Zodra ze inloggen geef je scherm dat er iets mis is gegaan en ze later nog een keer moeten proberen. Ondertussen heb jij een valide inlog voor hun systemen en kan je je gang gaan.
En zelfs two-factor authentication is niet waterdicht, levert hooguit 1 extra obstakel op...
"1 hop extra" om iemand te citeren.
Heb je het artikel überhaupt wel gelezen? Wat heeft de software modulair opbouwen te maken met medewerkers die een wachtwoord lekken (bewust of onbewust).
Het feit dat ze blijkbaar beheertaken en kantoortaken mixen op één omgeving is puur een organisatorische kwestie.
Daarbij valt op te merken dat organisatie en IT hand in hand (horen te) gaan.
En welke module zouden ze hier hebben moeten vervangen? Het personeel? Zolang je personeel voor phishing aanvallen blijft vallen kan je nog zoveel doen, maar krijg je het gewoon niet veilig.
Het blijft mij verbazen dat alles zo lek als een mandje is tegenwoordig (en in het verleden).
Ik verbaas me dan weer om het feit dat het allemaal niet veel catastrofaler uitpakt. Als je bedenkt hoeveel potentiele aanvallen er zoal in naam der commercie worden gedoogd dan schrik je je rot. Echt alles en iedereen opereert op het nivo van 'als het kalf verdrinkt dempt men de put'. Dan is het dus wachten op misbruik.
Hopelijk is de schade zo groot dat het belang in meerdere beheerders of gedecentraliseerde behering van het internet groter wordt. ICANN runt praktisch het internet en is daarbij een single point of failure
Het zou niet mogelijk moeten zijn,......

Ik klik hier ook dagelijks foute certificaten weg, (en ik werk dan nog wel voor een f*cking CA) en wordt dus gewoon kotsmisselijk als management weer afkomt met de zoveelste training om mij er aan te herinneren dat ik mijn paswoorden niet moet afgeven.

Een organisatie secure krijgen is zeer moeilijk denk ik. (vooral als het management van te voren al meent te weten waar het security probleem zit)
Gewoon je bedrijfscomputers niet rechtstreeks aan internet hangen.

Op mijn werk zij er speciale servers voor. Daar word een browsersessie opgestart die word weergegeven op jou computer. Deze is duidelijk herkenbaar zodat je weet of je op het interne netwerk of op internet zit. Een link kun je nog wel copy/pasta doen. Downloaden gaat ook via speciale servers. Maar verder hebben de bureau computers alleen verbinding met het interne netwerk.
Internet Corporation for Assigned Names and Numbers.

Ze kennen tld's toe en zorgen voor de distributie van IP nummers.

[Reactie gewijzigd door Falcoo op 18 december 2014 13:16]

En hebben / beheren een database van een triljoen email adressen van iedereen die een domeinnaam op z'n naam heeft. Kassa.

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True