Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 27 reacties

De internationale betalingsorganisatie Swift heeft besloten een nieuw beveiligingsbeleid in te voeren. Deze beslissing is het gevolg van een hack van verschillende banken, waaronder de centrale bank van Bangladesh. Daarbij werd 81 miljoen dollar gestolen.

Swift-logoSwift-ceo Gottfried Leibbrandt wil een vijfpuntenplan presenteren om de beveiliging van de organisatie in orde te brengen. Zo wil hij dat er 'drastische verbetering' plaatsvindt op het gebied van informatiedeling en wil hij dat er betere veiligheidsprocedures worden ingevoerd. Daarnaast moet software in gebruik worden genomen die fraude gaat detecteren. Tot slot eist hij strengere richtlijnen voor de beoordeling van de implementatie van de Swift-regels door banken, zo schrijft Reuters.

Leibbrandt is er bovendien van overtuigd dat het probleem niet volledig aan Swift te wijten is, omdat de fouten die tot de hack leidden, voornamelijk zijn gemaakt door gebruikers. Er zijn echter geluiden dat Swift wel degelijk een actievere rol had kunnen spelen op het gebied van beveiliging, aldus Reuters. Ook zou het vaak voorkomen dat Swift niet op de hoogte wordt gesteld van beveiligingsincidenten.

De organisatie ligt onder vuur na berichten over verschillende hacks, waarvan de grootste in Bangladesh plaatsvond. Daarbij zetten aanvallers geavanceerde malware in om Swift-software voor hun eigen doeleinden te gebruiken en 81 miljoen dollar te stelen. Bij een analyse door beveiligingsbedrijf BAE Systems bleek dat de door de aanvallers gebruikte technieken sterke overeenkomsten vertonen met de Sony-hack, die de VS aan Noord-Korea toeschrijft. Later bleek dat ook de Vietnamese Tien Phong-bank doelwit was, samen met de Banco del Austo van Ecuador.

Leibbrandt wil het vijfpuntenplan deze week presenteren op een conferentie in Brussel.

Moderatie-faq Wijzig weergave

Reacties (27)

Typerend dat zo'n belangrijke organisatie in de financiŽle sector deze fouten heeft gemaakt in de beveiligingsaanpak en nu wanneer het kalf verdronken is de put pas gaat dempen. Daarbij wijzen ze direct naar de banken dat daar het probleem ligt. Natuurlijk gaan ze hun eigen systemen aanpassen, maar de banken hadden het moeten melden. Vind zo'n houding redelijk schokkend.

SWIFT is wereldwijd verantwoordelijk voor het versturen van financiŽle transacties tussen 209 landen en 9000 financiŽle instellingen. Daarbij schrijven ze op hun website dat ze een hoge veiligheid/beveiliging hanteren. Wanneer je bestaansrecht is om deze informatie te versturen moet je altijd zorgen dat jij als organisatie de veiligheid boven alles stelt en niet de bal neerlegt bij de financiŽle instellingen (banken).
Uiteraard wijst SWIFT naar de banken (lees: gebruikers), die geven de aanvallers toegang tot de systemen waarmee je SWIFT-berichten kunt aanmaken en versturen. Bij banken werken mensen en daar mag je nu eenmaal niet teveel van verwachten, zie cybercrime in zijn algemeenheid. Mensen zijn dom en/of naÔef. En de uitzonderingen bevestigen deze regel ;-)

Zolang criminelen toegang kunnen krijgen tot systemen door gewoon om userid's en wachtwoorden te vragen, of door deze te onderscheppen met malware, is het lastig om de beveiliging op orde te krijgen. Organisaties die zo slecht zijn beveiligd, moeten sluiten. Medewerkers die zo slecht omgaan met vertrouwelijke gegevens, moet je gewoon ontslaan omdat ze een bedrijfsrisico zijn. Stuur 2, 3 keer paar een phishing mail door je eigen organisatie heen, en iedereen die er in trapt, heeft zijn eigen ontslagbrief getekend. Hard, maar doeltreffend. De rest van de organisatie leert hier ook heel snel van.
Er is geen andere manier dan het neer te leggen bij de banken. Zij leveren alleen een platform en uiteraard doen ze er van alles aan om dat platform veilig te houden middels protocollen, versleuteling enzovoorts.

Swift is in dit geval niets anders dan het instituut dat de wegen bouwt en onderhoud. Net als in het reguliere leven, doet men het nodige om het veilig te houden. Maar als er auto's zijn met gevaarlijk gladde banden die zo van de weg af de rivier in schieten kan men daar niet al teveel aan doen dan wellicht wat vangrails te plaatsen. Het echte probleem zit hem echter op de banden. Tevens is daarnaast ook nog eens het gedrag van de bestuurders van belang.

Naar de digitale wereld, Swift kan maatregelen nemen, maar als banken zelf fouten maken of als hun gebruikers dat doen, zal het werk dat Swift verzet nutteloos kunnen blijken. Uiteraard is het ook aan Swift om om standaarden te handhaven en te verbeteren en daar waar mogelijk zelfs te forceren, maar de verantwoordelijkheid blijft bij de banken. Voor Swift is het niet mogelijk om te zien of iets door een gebruiker of door een gehackt systeem van de bank gedaan wordt.
Als je Swift met een wegbeheerder vergelijkt, moet je het als een tolweg beschouwen. Daar kan je wel degelijk een beveiliging en monitoring bij plaatsen. Swift is nu een systeem wat de tolpoortjes (banken) niet goed monitort en zo nodig onderhoud.
Zelfs als de beveiliging van een bank lek is (en dat was hier duidelijk het geval) moet Swift dat kunnen detecteren en de bank (tijdelijk) afsluiten om verder misbruik te voorkomen.
Blijft nog steeds het gedrag van de bestuurder een probleem, ook op een tolweg...
Er is altijd ergens een zwakke plek, maar als die bij het inloggen van of door de bank zit (zoals hier het geval lijkt) is toch de toegangsbeveiliging onder de maat. Opvallend gedrag (was ook hier het geval) kan je met een goede monitoring opvangen. Swift doet helaas heel weinig aan monitoring. Dat bewijst de laatst hack in Japan/Zuid-Afrika ook weer. Voor de monitoring waren niet eens ingewikkelde algoritmes nodig.
Met een paar (snelheids)camera's kan je een asociale rijder er ook uit vissen.
Enkele jaren geleden was het koppelvlak met SWIFT (Waar ik in de buurt van rondliep, maar niet direct mee te maken had) IBM? Message Queue met certificaten, encryptie etc. waarmee het aan de bank eigen applicaties gekoppeld was. Als kunnen er best meer methoden zijn waarmee connectie gemaakt wordt. Er zijn best landen waar niet alle banklocaties zullen kunnen beschikken over breedbandige netwerken.
Oh ja als de verbinding verbroken raakte moest er een geautoriseerd iemand het datacenter in om de pincode op een kastje aan het systeem in te tikken zodat de SWIFT applicaties gestart konden worden met de juiste sleutel van de Chipcards.

Ik lees het artikel dan ook vanuit dat perspectief, nl. De bank eigen applicaties hebben onvoldoende in de weg gelegd om de MQ berichten te genereren.

Om op dat koppelvlak in te breken heb je meer nodig. MQ verbinding, certificaten.

[Reactie gewijzigd door tweaknico op 25 mei 2016 15:14]

Het is triviaal en gebruikelijk bij organisaties waar veiligheid wel de hoogste rol speelt om te eisen dat alle partners die aangesloten zijn een baseline aan security maatregelen heeft geimplementeerd. Dat lijkt hier volledig NIET gebeurt te zijn. Dat is absoluut Swift aan te rekenen die eenvoudige maatregelen achterwege heeft gelaten. Waarschijnlijk om maar zoveel mogelijk transacties te kunnen doen (Ockhams razor). Dit is voor creditcard bedrijven heel normaal. (PCI DSS). Ik controleer net even de lidmaatschap lijst van PCI DSS en daar staan ze niet eens op. Ik weet niet wat ze allemaal uitgespookt hebben maar wat ze nu doen is absoluut mosterd na de maaltijd en waarschijnlijk te weinig omdat je dit soort beleid vrijwel niet retroactief aan kunt passen met zoveel partners en betrokken landen. Dus het zal nog wel even lekken daar bij Swift.
Natuurlijk wordt er naar de banken gewezen. SWIFT opereert als tussen persoon voor twee banken bij een transactie en gaat uit van de geldigheid van een transactie (wel met enige vorm van controle).
Als ik een pakketbezorger ben een opdracht van jou om een pakket te vervoeren van persoon A naar persoon B en later blijkt dat het pakket gestolen goederen bevatte. Wie krijgt dan de schuld? De dief of de bezorger?
Je analogie klopt niet: je krijgt een pakket van A en het moet naar B. Je komt aan bij B en die ligt laveloos in de goot. Wat doe je dan: het pakketje in z'n schoot leggen en melden: alles OK, of neem je het pakketje mee terug en zegt tegen A: die B spoort niet. Zou ik geen zaken mee doen.
Mijn analogie klopt wel. Zie.
Het overschrijven van bank A naar bank B was vanuit bank A goedgekeurd. Bank B neemt aan dat dit geen fout is. De opzet van het systeem is nogmaals dat bank B ervan uit gaat dat bank A geen fouten heeft gemaakt.

[Reactie gewijzigd door BakingSoda op 24 mei 2016 18:00]

Leibbrandt is er bovendien van overtuigd dat het probleem niet volledig aan Swift te wijten is, omdat de fouten die tot de hack leidden, voornamelijk zijn gemaakt door gebruikers.
Lekker makkelijk om je gebruikers de schuld te geven. Als ze hun beveiliging goed voor elkaar zouden hebben, dan zou het niet mogelijk moeten zijn dat criminelen op deze manier inbreken via slordige gebruikers.

Want er is in dit geval niet zomaar wat geld gestolen van klanten die slordig omgingen met hun inloggegevens; er is echt ingebroken op de interne systemen zelf, waardoor criminelen grote hoeveelheden geld hebben kunnen stelen.
Typisch hoe je je als suffe Westerse burger opstelt. Je verwacht dat de overheid en de bedrijven verantwoordelijk zijn voor jouw veiligheid. Ze zijn er toch ook niet verantwoordelijk voor wanneer je je portemonnee ergens open laat liggen?
Veiligheid is alles behalve vanzelfsprekend en al helemaal op internet. Eigenlijk zouden alle internet gebruikers belangrijke onderwerpen zoals encryptie, hashes, trojans, backdoors en social engineering moeten begrijpen maar dan houden we niet veel internet gebruikers over.
Wetenschappers en bedrijven investeren duizenden manjaren om de digibeet toch enigzins te beschermen maar zolang er mensen zijn zonder goede beveiliging, die internet adressen niet checken en hun gegevens zomaar ergens invoeren zullen er onveilige internet gebruikers zijn.
dan krijg je de eeuwige discussie: moet je een gebruiker maar blijven porren die het veelal simpelweg niet snapt, in de hoop dat hij het opeens wel gaat snappen? Of moet je je design (in de ruimste zin des woords) aanpassen op wat een user begrijpt? :)

Je kunt iemand namelijk ergens verantwoordelijk voor houden (prima), maar dat is maar een papieren tijger als die groep het eenvoudigweg niet begrijpt. Je proces klopt, het resultaat zal echter uitermate bedroevend zijn :P (buiten dat ik me niet verantwoordelijk kan voelen voor iets wat ik niet begrijp lijkt me).

Ik vind het opmerkelijk dat het voor SWIFT als een verrassing lijkt te komen. Me dunkt dat als je de verbindende partij bent voor belangrijke instanties, die ook nog eens van nature zowat doelwitten vormen, je veiligheid afdwingt bij deze partijen en ze anders simpelweg niet op je netwerk wilt hebben. Afdwingen kan in vormen van een standaardnetwerk wat een bank moet hebben om maar iets te noemen, audits uitvoeren, enz.
Ik snap je punt maar binnen een samenleving nemen we een minimale ondergrens aan voor wat een burger dient te begrijpen. Onbegrip is geen excuus voor een misdrijf en ook geen excuus voor een fout waar iemand voor verantwoordelijk is. Ik denk dat het niet onrealistisch is om te stellen dat het beschermen van de eigen bezittingen en gegevens een verantwoordelijkheid is van een gezonde burger.
Het is niet zo dat de gebruiker allerlei details van beveiliging hoeft te weten maar vuistregels zoals 'geef je pincode niet door aan de telefoon' en 'klik niet op onbekende links uit emails' moeten vastgehouden kunnen worden door gebruikers om veiligheid mogelijk te maken.
het gaat al veel eerder mis ;) Zoals het niet kunnen onthouden van je wachtwoorden of al afhaken als er meer dan 1 knop op een site staat.

Wat je dan krijgt is dat it organisaties enerzijds pushen richting selfservice, maar dat anderzijds een fikse generatie/groep het simpelweg niet begrijpt. Resultaat is dan ook dat die mensen relatief eenvoudig te vangen zijn met fishingmails :)

Dan kunnen we het bestempelen als dat het hun plicht is of verantwoordelijkheid. Prima, maar je komt terug op mijn punt: als iemand het totaal niet begrijpt, niet snapt wat hij moet doen of net niet moet doen, dan is er ook geen verantwoordelijkheidsgevoel.

Het probleem is dus in essentie dat je die ondergrens te hoog in aan het schatten bent ;) Simpelweg die grens lager leggen kan prima, maar dan zul je stevig moeten werken aan je design :)
Je hebt geloof ik niet helemaal begrepen wat ik schreef.

Deze situatie is vergelijkbaar met het volgende: stel dat de lantaarnpalen kapot zijn langs de snelweg zodat het donker is en daardoor ongelukken gebeuren - dan geeft de wegbeheerder de automobilisten de schuld dat ze maar voorzichtiger hadden moeten rijden.

Beveiliging van systemen is heel goed zodanig te ontwerpen dat als iemand een zwak wachtwoord gebruikt, dat niet betekent dat criminelen zo diep in het systeem kunnen inbreken dat ze van de bank zelf (dus meer dan alleen die ene gebruiker met dat zwakke wachtwoord) een hoop geld kunnen stelen.
Vage analogie... Eigenlijk wil ik er niet op in gaan maar je bent toch ook bijzonder onverstandig als je zonder zicht met volle snelheid gaat rijden? Altijd maar weer iemand anders de verantwoordelijkheid in de schoenen schuiven ;).
Er staat nergens iets over dat gebruikers dieper in een systeem konden duiken dan nodig.
SWIFT is een platform voor het uitwisselen van geldstromen tussen landen/financiele instellingen. Men heeft ingebroken bij banken en vervolgens gebruik gemaakt van SIWFT of geld weg te sluisen. Dat is vergelijkbaar met AMS-IX en zeggen dat ze verantwoordelijk zijn voor de illegale downloads.
Tuurlijk is het platform zeker te verbeteren, maar je zal versteld staan van de IT kunde op IT afdelingen van sommige banken. Daar schrik je dan toch soms van (personlijke ervaring in een support rol van software leverancier die ook aan banken leverde).
Ja en nee: ISPs die handelen met illegale upload sites word gevraagd die sites neer te halen. Dus de banken had gezegd moeten worden: verbeter je security of sluit de deur. Swift had die eis moeten stellen. Nu is het, via Swift, zo dat sterkte van het security systeem van banken wereldwijd door een partij naar beneden getrokken kan worden (ketting is zo sterk als de zwakste schakel). Als AMS-IX merkt dat er een DDOS gebeurt via ISP de interne systemen van ISP xyz en de routers van AMS-IX hebben er zoveel last van dat andere klanten van AMS-IS hierover klagen denk ik niet dat AMS-IX een conferentie gaat organiseren en een verbeterplan gaat presenteren maar ISP xyz eraf sodemietert en daarna vragen gaat stellen.
Haha, ik heb weleens met Swift moeten werken en die zijn niet bepaald vooruitstrevend als het gaat om security. Voorbeelden te over van achterhaalde protocollen en technieken.

Ik ben blij om te horen dat ze er werk van gaan maken. Zoals altijd pas nadat er van alles fout is gegaan. Dat is geen enkele verrassing.

Ik vermoed dat Swift zich minimaal inspant om de meest prangende security issues op te lossen. Daarna is het weer terug naar het oude, gezapige tempo. Het blijven ongelofelijke knieperts.

Maargoed, ze konden ook niet anders na alle problemen. Ik hoop dat ze zich eindelijk gaan beseffen dat "security by obscurity" geen goed beveiligingsmodel is.
Geef eens wat voorbeelden zou ik zeggen..
MT-104 FTW! Idd. De backoffice systemen van die club moeten 3 dagen bijkomen als er een trema in een naam staat.
Mijn schoonbroer is een fysicus die bij Swift werkt.
Zijn reactie: "Hack? Welke hack?"
En daarna apetrots uitpakken dat hij "geupdate heeft naar windows 10" ...
Eigenlijk kan je in de IT alleen maar overleven als het je allemaal geen bal interesseert.
Ik ben als ingenieur al meerdere malen tussengekomen door te programmeren op protocol niveau omdat de "third party software" crasht op toevoerkleppen van reactoren met giftige gassen.
Ook een bachelor informatica erbij genomen tussen de soep en de patatten.
Ik zit nog altijd te wachten op het eerste teken van volwassenheid uit de IT sector...spijtig genoeg zie ik vooral sarcasme en berusting bij mensen die er al lang inzitten.
Tsja voorkomen is beter dan genezen.
samen met de Banco del Austo van Ecuador.
Ik las even Banco del Asusto: Bank van de Angst.

Zou wel een mooie treffende naam zijn voor een bank :+

[Reactie gewijzigd door GeoBeo op 24 mei 2016 08:40]

Als ik het goed begrepen heb was een en ander mogelijk vanwege 2 zaken.

1. De gehackte banken maakten gebruik van een verouderde versie van de Alliance software.

2. Het verkeer verliep intern via routers met slechte beveiliging die dus gehacked werden.

Swift kan hier denk ik alleen maar afdwingen dat men de nieuwste Alliance (SAG) versies gebruikt, ze kunnen moeilijk gaan controleren hoe het interne netwerk bij de klant er uitziet. Ze sturen regelmatig nieuwsbrieven uit met onder security informatie en de mededeling dat er een nieuwe versie van bepaalde software is maar laten het blijkbaar aan de banken en overige klanten over of ze die ook installeren...

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True