Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 39 reacties

De organisatie voor interbancair verkeer Swift heeft twee beveiligingsbedrijven in de arm genomen om te helpen met het doorlichten van beveiligingssystemen van hun klanten en het detecteren van mogelijke hacks.

De maatregelen volgen op een serie hacks bij banken in Vietnam, Ecuador, Oekraïne en Bangladesh. Met de hack op de centrale bank van Bangladesh wisten criminelen 81 miljoen dollar buit te maken. De criminelen konden de banken beroven door onder andere bepaalde client-software aan te passen. Na de hacks kondigde Swift aan een nieuw beveiligingsbeleid in te voeren. Ondanks dat de fouten door de banken zelf gemaakt zijn, had Swift een actievere rol op het gebied van beveiliging kunnen spelen.

De twee door Swift ingehuurde bedrijven gaan onderdeel uitmaken van een taskforce die onderzoek gaat doen naar veiligheidsincidenten binnen omgevingen van klanten, schrijft The Wall Street Journal. Daarvoor heeft het Fox-IT uit Delft en BAE Systems uit Londen in de arm genomen.

Gebruikers van Swift hebben de verplichting om op reguliere basis informatie te delen over aanvallen op hun netwerken. Die informatie gebruikt Swift om onderzoek te doen naar software die voor aanvallen gebruikt is en naar tekens van mogelijke binnendringers. Swift brengt die informatie samen en publiceert die voor zijn gebruikers onder de noemer 'indicators of compromise'.

Swift is een internationale organisatie waarin financiële instellingen informatie uitwisselen over transacties en wordt door zo'n 11.000 instellingen over de hele wereld gebruikt.

Moderatie-faq Wijzig weergave

Reacties (39)

Wel zorgelijk dat een bancaire knooppunt geen eigen competente mensen in dienst heeft.
Swift zal ongetwijfeld goed specialisten in dienst hebben.

Het is echter een complex systeem dat je op talloze verschillende manieren kan inrichten; Iedere financiele instelling die je binnenloopt, zal Swift net weer even op
een andere manier hebben ingericht.

Het is ook een utopie om iets 100% veilig te kunnen krijgen; ook bij Swift zal men altijd wel weer een vulnerability kunnen vinden.
Dat neemt natuurlijk niet weg, dat men z'n uiterste best zal doen om dat zoveel mogelijk af te dichten.

Systeem als Swift is niet direct te benaderen vanaf het internet; hackers zullen eerst hun weg naar binnen moeten vinden naar het interne netwerk.

Dat kost tijd... wat je vaak ziet binnen organisaties - en waar het ook fout gaat - is dat zij helemaal niks detecteren op het moment dat iemand hun corporate netwerk
binnendringt. Gemiddeld kunnen hackers 140+ dagen (!) in een corporate netwerk rondneuzen, zonder dat er ook maar iets wordt gedetecteerd.
Na die 140+ dagen, komt ongeveer 50% van de organisaties er zelf pas achter dat er unautorized access in hun netwerk is... en andere 50% moet door een externe bron worden geinformeerd.

Wanneer organisaties beter en sneller intruders kunnen detecteren, zullen dit soort incidenten veel minder vaak voorkomen; de hele keten, het hele hacking proces moet onder de loep worden genomen.

Je alleen op Swift focussen zal echt niet volstaan.
The proof of the pudding is in the eating. Swift zal waarschijnlijk geen mensen met een criminele achtergrond in dienst willen nemen. Maar hoe kan een security-expert de nodige ervaring hebben opgedaan zonder geëxperimenteerd te hebben?

Je vindt zogenaamde "security-experts" bij de vleet. Allemaal mensen die eens Norton Anti Virus hebben geďnstalleerd en wat kunnen klikken. Maar eigenlijk kennen ze er nul komma nul van. Het soort ervaring dat je nodig hebt heeft veel meer met programmeren en out of the box denken te maken. En verder common sense (geen USB sticks van thuis toelaten, geen VNC servers, alles encrypten, segmenteren van risico's -authenticatie -systemen -en netwerken, etc).

Wil je echte experts? Ga eens in Duitsland bij de Chaos Computer Club op bezoek. Maarja, op hoeveel watchlisten staan die mensen wel niet?

Dus, dan besteed je het uit aan bedrijven die deze mensen in dienst nemen. Zoals Fox IT bv.
The proof of the pudding is in the eating. Swift zal waarschijnlijk geen mensen met een criminele achtergrond in dienst willen nemen. Maar hoe kan een security-expert de nodige ervaring hebben opgedaan zonder geëxperimenteerd te hebben?
Door een goede universitaire opleiding met daarna interne trainingen door gespecialiseerde bedrijven. Als jij denkt dat Fox IT veroordeelde criminelen in dienst heb je het geheel mis. En CCC? De meeste mensen die daar presentaties geven zijn gerespecteerde specialisten die niets maar dan ook werkelijk niets met crimineel hacken te maken hebben.

De fabel dat er bedrijven veroordeelde hackers in dienst nemen in bedrijfskritieke functies is schandalig en heeft al menig jongere er toe gebracht te denken dat zelfs als het mis loopt er nog iets te winnen valt. Maar dat is echt, grote, zeer grote onzin. Geen enkele manager neemt iemand in dienst die BEWEZEN heeft niet verantwoordelijkheid te kunnen omgaan. Met een strafblad sta je onder aan de ladder en als veroordeelde hacker kan jet het in de IT schudden.

Banken die bankrovers in dienst nemen als beveiligers....
De fabel dat er bedrijven veroordeelde hackers in dienst nemen in bedrijfskritieke functies is schandalig en heeft al menig jongere er toe gebracht te denken dat zelfs als het mis loopt er nog iets te winnen valt. Maar dat is echt, grote, zeer grote onzin.
In Nederland rust er inderdaad een taboe op, echter hoeveel mensen zijn er veroordeeld puur op computervredebreuk ?

Het aantal mensen in Nederland die onder wet computercriminaliteit 1 is veroordeeld is op 1 hand te tellen.

Wet computercriminaliteit 2 zijn maar tientallen.

En als je ziet wat voor kaliber die mensen waren, gaat het meestal om scriptkiddies met een lage opleiding.

Met andere woorden, het is makkelijker om een HBO+ security engineer te vinden dan een veroordeelde HBO+ hacker....

Bij mij weten werkt er geen enkele veroordeelde in loondienst bij een security bedrijf. (in Nederland. Nederlanders die in Amerika werken wel overigens)
Geen enkele manager neemt iemand in dienst die BEWEZEN heeft niet verantwoordelijkheid te kunnen omgaan.
En dat is niet waar.

Vrijwel alle specialisten hebben onethische handelingen gedaan in hun leven om aan hun kennis/kunde te komen.

Het enige waar men mee moet oppassen indien iemand er over gaat liegen, want dan haal je wel een risico in huis.

Verder heeft iemand die een naam heeft veel meer te verliezen, of jij een anonieme CISSP' er indien neemt en die iets bewust verkeerds doet of iemand met een reputatie, want over die laatste zal gepubliceerd worden en dan zal hij geen boterham meer legaal kunnen verdienen.....
Ik verwoorde het verkeerd waardoor het mogelijk is dat wat ik schreef misbegrepen wordt als zouden mensen die al eens experimenteren ook altijd criminele feiten plegen.

Dat bedoelde ik niet.
Dus, dan besteed je het uit aan bedrijven die deze mensen in dienst nemen. Zoals Fox IT bv.
"Ik wil geen criminelen in dienst dus huur ik ze in via een ander bedrijf dat ze wel in dienst wil nemen". Natuurlijk werkt dat niet zo, voordat zo iemand toegang tot systemen krijgt geef je die natuurlijk een flinke screening en die criminelen komen daar ook niet doorheen.
Het is natuurlijk een fabel dat een goede security expert ook een hacker moet zijn.
Ahum. Dat hangt af van het soort security expert. Een pentester c.q. redteam moet wel degelijk te werk gaan als ''een echte hacker''. De toolsets die ze gebruiken zijn dan ook identiek. Laat Fox-IT CERT nou net een boel van die types in dienst hebben ;)
Ik corrigeer, want ik bedoelde niet dat ieder van hen noodzakelijk criminele feiten pleegt: iemand die al eens geëxperimenteerd heeft met dezelfde zaken als iemand die criminele feiten pleegde. Om het in hacker-bewoording uit te drukken: white hat hackers.

Ik denk dus dat bv. een Fox IT wel "white hat hackers" en Swift niet in dienst zal nemen. En wat iemand anders ook al opmerkte: vermoedelijk zou een logge weinig inspirerende organizatie als Swift niet snel zo'n "white hat hacker" kunnen houden. De variatie in de job bij bv. een Fox IT is vermoedelijk groter.
Screening ?

Bewijs van goed gedrag.
Sollicitant gaat naar gemeente levert een VOG verzoek in. Daarin staat waar hij het voor nodig heeft en functie.

Gemeente stuurt het door naar korpschef taken, daar kijken ze in landelijk en lokaal systeem, niet alleen op veroordelingen maar andere contact momenten met politie en dat was het.

AIVD screening: ze praten met je buren.

Wie van degene die dit leest heeft nu buren die exact weten wat je voor je dagelijks werk inhoudelijk doet?

Enige no-go is een veroordeling, echter er zijn maar heel weinig mensen veroordeeld voor specifieke computer vredebreuk artikelen.

Een security expert zal in zijn leven altijd iets onethisch hebben gedaan, als was het maar decompiler/reverse engineering van iets waarop hij auteursrecht/intellectueel eigendom niet van heeft.

De mensen waarvan ik weet dat ze bij Fox-IT werken/hebben gewerkt zijn verre vrij van zonden. Op een paar namen na die ik alleen ken als mensen die publiceerden over security nieuws.
Decompiling is niet verboden door het auteursrecht. Auteursrecht is copyright, en gaat dus letterlijk over het verspreiden van kopieën.
Ik heb zelden closed source gebruikers condities gezien waarin stond dat je het mocht decompilen/reverse engineering.

Qua jurisprudentie mag je in Nederland iets decompilen/reverse engineeren indien je problemen van software ondervind en leverancier kan/wil het niet oplossen.
Hoeft ook niet in de licentie te staan; omdat het in de Auteurswet niet is verboden is het dus standaard toegestaan.

De jurisprudentie waar jij aan denkt stelt dat een licentie je niet eens kan verbieden om code te reverse Engineeren voor correct gebruik.
Je hebt veel theoretische security-experts met een CISSP papiertje, die nog nooit iets gecompiled hebben.

En qua watchlisten/screenings etc... moet men niet zoveel voorstellen.
Doorlichten betekent niks anders dan een second opinion. Het kan helpen om met een frisse blik naar je IT systemen te kijken. Het blijft mensenwerk.

[Reactie gewijzigd door Relief2009 op 11 juli 2016 18:21]

Wat ik zorgelijk vind is dat er blijbaar geen alternatief is voor Swift. Ten eerste kan er iets gebeuren, bv een storing (hoe klein ook de kans) of een hack. Ten tweede is het Amerikaans. Zij kunnen dus ook het betalingsverkeer controleren tussen bv Nederland en Duitsland (mocht NL ooit weer Leopards willen kopen), Frankrijk (mocht NL toch nog een paar Rafale's willen kopen), Zweden (mocht NL saabs willen kopen). Die geggevens gaan rechtstreeks naar de USA defensieindustrie en mochten de relaties ooit bekoelen zou de USA zelfs die betalingen kunnen tegenhouden.

Kortom, zelfs al is Swift nu prima, er zou een tweede systeem moeten zijn als backup of alternatief. Uiteraard zal dat andere system ook onder controle moeten staan van één of andere partij, maar dat zou ook de EU of de ASEAN kunnen zijn.
Volgens mij is SWIFT een Belgisch bedrijf: Wiki SWIFT https://en.wikipedia.org/...nancial_Telecommunication
ok, i stand corrected, Swift is niet Amerikaans, maar e hebben wel een dikkke vinger in de pap. En ondanks wat xelhana hieronder aangeeft hebben ze nog steeds inzage in alle gegevens, sterker nog ook deze week hoorde ik een topic op BNR (Business News Radio) dat ondanks het opheffen van de handelsbelemmeringen met Iran, de handel nog niet van de rond kwam omdat de Amerikanen het betalingsverkeer met Iran soms nog tegenhouden.
Swift is Belgisch.
Als je goed kijkt is er sinds 2009 voor gekozen om Europees transactie verkeer niet meer naar de VS te sturen.

Wat je zegt klopt dus niet, zie ook link bertus1968
ok, i stand corrected, Swift is niet Amerikaans, maar e hebben wel een dikkke vinger in de pap. En ondanks wat xelhana hieronder aangeeft hebben ze nog steeds inzage in alle gegevens, sterker nog ook deze week hoorde ik een topic op BNR (Business News Radio) dat ondanks het opheffen van de handelsbelemmeringen met Iran, de handel nog niet van de rond kwam omdat de Amerikanen het betalingsverkeer met Iran soms nog tegenhouden.
Zou kunnen verklaren waarom men naar de blockchain Tech. aan het kijken is. Heb geen idee hoe de veiligheid binnen Swift geregeld is dus als ik iets onzinnig zeg sorry.
Ik ben het wel met totaalgeenhard eens. Externe accountants blijft ook altijd een zwakte, je weet nooit zeker of alles op orde is. Het lijkt hier meer op een gevalletje we huren een paar externe partijen in met specialisten om hier eens goed naar te kijken. Nooit verkeerd natuurlijk ter aanvulling op je eigen kennis, maar het is ook daarna een kwestie van scherp blijven.
Het enige wat een externe partij kan aantonen is dat je eigen team incompetent is.

Als je beveiliging afhankelijk is van mensen heb je veel mensen nodig :)

Maar met een goed doordachte policy die goed geďmplementeerd is, zal een externe partij niets kunnen vinden, ook al zouden ze een 0-day gebruiken.


Wat wel raar is dat er een persbericht is verstuurd. Dus het is meer voor de bühne.

"Kijk wij hebben wel 2 bedrijven ingehuurd"

Verder willen manager zichzelf graag indekken en als je je eigen personeel niet kunt vertrouwen, kun je best een derde partij inhuren, zodat je achteraf niets te verwijten valt.

[Reactie gewijzigd door totaalgeenhard op 12 juli 2016 02:59]

Security is een vak op zich, net als storage, virtualisatie, en zo verder. Dus als je de top in een kennisgebied uitnodigt om je beveiliging eens goed door te lichten, lijkt me dat alleen maar getuigen van goed IT beleid en juist geen teken van incompetentie.
Als je een null-meting wilt doen van je huidige security team, dan is dat een manier.

Indien je ze inhuurt omdat je verwacht dat ze iets gaat vinden (waarom neem je er anders twee?) dan is er structureel iets fout met je IT beleid.

Overigens er is wel een uitzondering, indien het om forensisch onderzoek gaat.
Naast technische uitdaging zit je met name juridische complicaties indien je dat fout aanpakt.

Je wil bewijs niet besmetten of onrechtmatig maken b.v. door het verkeerd veilig te stellen.

[Reactie gewijzigd door totaalgeenhard op 12 juli 2016 03:08]

Het is heel normaal om als (groot) bedrijf een externe firma in de arm te nemen.
Vaak is het niet haalbaar om specifieke expertise in huis te hebben en te houden.
En inderdaad speelt de 'frisse blik' een belangrijke rol.
Het is heel normaal om als (groot) bedrijf een externe firma in de arm te nemen.
Vaak is het niet haalbaar om specifieke expertise in huis te hebben en te houden.
En inderdaad speelt de 'frisse blik' een belangrijke rol.
Of je hebt (zoals nu) gewoon tijdelijk veel meer te doen.
Je veroorzaakt daarmee meteen een risico. Zoals geschreven ze tonen alleen incompetentie aan. En dan heb je een veel groter probleem.....

In gevallen van forensische onderzoek deel ik je mening overigens wel. Zie ander reactie van me.

[Reactie gewijzigd door totaalgeenhard op 12 juli 2016 03:28]

Wel zorgelijk dat een bancaire knooppunt geen eigen competente mensen in dienst heeft.
Tuurlijk hebben ze die wel. Voor Swift is echter veiligheid 1 van de vele competenties die ze hebben. Je kunt dan nooit op hetzelfde niveau zitten als een specialist.

Daarnaast merk je vaak dat als je dagelijks met iets werkt, je blind spots ontwikkelt.

Daarom is het verstandig om een second opinion te vragen en van tijd tot tijd een extern bedrijf te vragen om je te helpen met het veiligheidsaspect. Doorgaans levert dat een waslijst van mogelijke verbeterpunten op, die je heus niet allemaal zult implementeren, maar hopelijk wel die paar dingen waar je zelf niet eerder aan gedacht had, of een ontwikkeling die je zelf gemist had.
Je kunt dan nooit op hetzelfde niveau zitten als een specialist.
Waarom niet?

Alsof een externe specialist beter weet hoe je infrastructuur in elkaar zit en functioneert?

Mensen denken dat "hackers" kunnen toveren, het is geen onmogelijke taak om iets te beveiligen.

Als je een blind spot hebt, dan zit er organisatorisch iets fout. Daar kan een externe partij ook niets aan doen, behalve het laten zien....
Waarom niet?
Dit is pure praktijkervaring. Als je een academisch antwoord wilt, die heb ik niet. Dit is gewoon op basis van bijna 10 jaar enterprise-level IT. Overigens ben ik zelf geen security specialist. Maar ik heb vaak genoeg vanuit de techniek meegewerkt met het verwerken van interne en externe audits en met beide partijen geschakeld.

Mijn vermoeden is dat de oorsprong in jouw volgende opmerking zit.
Alsof een externe specialist beter weet hoe je infrastructuur in elkaar zit en functioneert?
Als interne security specialist zijn het juist de eisen van alledag die je aandacht vragen en waardoor je de eerder genoemde blind spots ontwikkelt. Natuurlijk houd je marktontwikkelingen bij, maar toch zul je sommige dingen mentaal gaan afschrijven als "niet relevant" of "theoretisch" en even voorbij laten gaan om een praktijkprobleem dat je op dat moment hebt te implementeren. Altijd wel werk om een terugkerende audit te managen.

Daarom altijd goed om zo nu en dan die externe specialist erbij te halen, die zich ook in al die op het eerste oog theoretische dingen verdiept heeft.

Als laatste is trouwens ook nog wel eens dat "vreemde ogen" dwingen. Als interne partij krijg je het oplossen van een security-bevinding soms niet verkocht aan management. Als dezelfde bevinding door een externe partij wordt gepresenteerd, dan krijgt hij plotseling prioriteit.

IT, het is net mensenwerk.

p.s.
Als je een blind spot hebt, dan zit er organisatorisch iets fout.
Als je denkt dat je geen 'blind spots' hebt, dan zit er pas organisatorisch iets fout.

Voor succes als modern bedrijf zul je als organisatie en IT-team moeten accepteren dat je fouten zult gaan maken en je architectuur en procedures zo inrichten dat je de gevolgen zo klein mogelijk houdt wanneer ze gaan gebeuren. Idem voor je security.

[Reactie gewijzigd door Keypunchie op 12 juli 2016 15:08]

Je hebt acceptabele rest risico. Wat acceptabel is is per organisatie anders, maar een impact analyse (die een buitenstaander niet kan maken) is daar het middel voor.

Ik zit sinds vorige eeuw in de security in verschillende rollen en functies.

Als je tijdje een rijbewijs hebt en een route dagelijks moet rijden, dan ontwikkel je een slechte gewoonte (blind spot) maar toch verongeluk je niet.

Met goede security framework heb je niets niet monitored/ongewenst/ondoordacht in je infrastructuur en kan het alleen een blind spot worden indien het organisatorisch fout zit.

En vaak is het gewoon een keuze, omdat zoals je aangaf management haar eigen afwegingen heeft om het niet weg te nemen. (tijd/kosten/voordeel etc..)

Externe partijen kennen je infrastructuur niet. Als ze van buiten gaan kijken en daadwerkelijk een pad vinden die uitkomt bij business kritische processen, dan heb je een heel ander probleem, namelijk de interne competentie en dat lost die externe partij niet voor je op.

Van binnenuit kijken is ander verhaal. Ik heb nooit gehoord van een audit waarbij alles was toegestaan. Want dan is helemaal niets veilig in de wereld.
Daarvoor heeft het Fox-IT uit Delft en BAE Systems uit Londen in de arm genomen.
Indirect neemt internationale betalingsorganisatie Swift alleen Britse bedrijven in de arm, aangezien Fox-IT eind vorig jaar is overgenomen door het Britse NCC Group.
En rara welke inlichtingen dienst zat bij SWIFT binnen..... ongevraagd...
Dat er bij Swift security issues zijn mag duidelijk zijn als je door de software heenloopt.
Alliance lite (2) heeft dan wel geen bekende hacks, maar is verre van veilig.
De centrale software leunt zwaar op de java installatie op de client-pc.
Default wordt software onder systemaccount gedraaid, en gelden er geen restricties voor de folders waar de berichten staan. (Administrators kunnen dus overal bij)
Security informatie (hoe de beveiliging te verbeteren, zonder impact op verwerking) is minimaal beschikbaar.
Een van de ideeen over beveiliging is om je 5 x in te laten loggen voordat je bij de kritische informatie bent, maar dit is 5 keer hetzelfde password.

Naar mijn idee zouden de volgende stappen genomen moeten worden.
1 afstappen van Java
2. Direct 2FA invoeren
3 uitgebreide handleiding voor security opties en met klant bespreken wat beste opties zijn.
4. Uitvoeren onder serviceaccount, en beperken rechten op berichten tot dit serviceaccount.

Je weet nl nooit welk kennisniveau de engineers die dit gaan implementeren hebben, en je mag niet uitgaan dat deze ervaren zijn in het beveiligen van systemen.
Ja, en de beveiliging doorspelen naar je klanten is niet bepaald een goede strategie, dat is duidelijk gebleken.
Intenties zijn mogelijk wel goed, maar het is een verzameling van individuen die misschien wel door screening zijn gekomen maar allen weleens iets onethisch hebben gedaan.

Snowden, was ook gewoon een voorbeeldige werknemer.

[Reactie gewijzigd door totaalgeenhard op 12 juli 2016 03:29]

Op dit item kan niet meer gereageerd worden.



Nintendo Switch Google Pixel Sony PlayStation VR Samsung Galaxy S8 Apple iPhone 7 Dishonored 2 Google Android 7.x Watch_Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True