Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Man-in-the-middle-aanval treft Fox-IT

Het Nederlandse beveiligingsbedrijf Fox-IT heeft afgelopen september te maken gekregen met een man-in-the-middle-aanval. Door dns-gegevens aan te passen, onderschepte een aanvaller gedurende korte tijd bestanden.

Na enkele verkennende scans bij de infrastructuur van Fox-IT halverwege september, paste de aanvaller op 19 september de dns-records van clientportal.fox-it.com aan bij de registrar. De ClientPortal is de web-app van het beveiligingsbedrijf om bestanden met klanten uit te wisselen. Gedurende tien minuten ving de aanvaller e-mail voor Fox-IT af, door de registratie van een vals ssl-certificaat voor clientportal.fox-it.com.

Vervolgens vond de daadwerkelijke aanval plaats; de aanvaller liet verkeer naar de portal doorsturen naar een vps-aanbieder in het buitenland. De aanval vond vroeg in de ochtend plaats en diezelfde ochtend detecteerde het bedrijf dat de dns-instellingen gewijzigd waren. Fox-IT voorkwam dat klanten de ClientPortal nog langer konden gebruiken, maar liet de aanval op de 19e voortduren voor onderzoek.

Het bedrijf lichtte vervolgens de politie en de Autoriteit Persoonsgegevens in. Na onderzoek kwam het bedrijf tot de conclusie dat tijdens de aanval twaalf bestanden zijn onderschept, waarvan drie vertrouwelijk. "Bestanden die als staatsgeheim zijn gerubriceerd worden nooit uitgewisseld middels ClientPortal", meldt Fox-IT. Ook inloggegevens van negen gebruikers van de portal zijn in handen van de aanvaller, maar deze zouden niet bruikbaar zijn. Ook is een lijst van namen van ClientPortal-accounts onderschept.

Volgens het beveiligingsbedrijf was de hack mede mogelijk doordat het wachtwoord sinds 2013 niet gewijzigd was. Daarnaast ondersteunde de registrar geen tweetrapsauthenticatie. "Wij hebben onze dns-provider achttien jaar geleden gekozen toen 2fa nog geen overweging of optie was", aldus Fox-IT in een publicatie waarin het verloop van de aanval beschreven wordt. Over de toedracht en details over mogelijke aanvaller meldt het bedrijf niets.

Door Olaf van Miltenburg

Nieuwscoördinator

14-12-2017 • 14:31

169 Linkedin Google+

Submitter: Xyrr

Reacties (169)

Wijzig sortering
Dat is toch echt gezichtsverlies als een beveiligingsbedrijf een wachtwoord sinds 2013 niet gewijzigd heeft.
Wat mij vooral verbaasd is waarom ze dit zo specifiek aangeven. Het is geen informatie die behalve reacties als 'wat kansloos' wat toevoegt aan het verhaal, en het is ook niet heel relevant. Zoals ze zelf al aangeven is het niet gezegd dat het langere tijd niet aanpassen de oorzaak is geweest. Ik vraag me dan ook af of er niet wat anders speelt.

Wat mij tevens opvalt is dat ondanks deze hack, en dan specifiek de uitgifte van het SSL certificaat, geen CAA record is geset op fox-it.com.

Ze reppen wel over het monitoren van certificate transparancy. Dat is leuk, maar dat is mosterd na de maaltijd. Dan is het kwaad al geschied zeg maar. CAA records kunnen helpen met voorkomen dat er uberhaupt een certificaat wordt uitgegeven. Je zou zelfs een CAA record kunnen setten die alle CAs verbiedt, en alleen op het moment dat je een certificaat wil dat record wijzigen.
Ben ik het niet mee eens. Het gaat er om hoe sterk het wachtwoord is. Als je een wachtwoord laat genereren door KeePass of Password Safe dan gaat niemand dat ooit raden, ook niet brute forcen. Dan kan men dus alleen maar via een inbraak achter het wachtwoord komen, en dat betekent dat je je wachtwoord beheer goed op orde moet hebben.
Dan kan men dus alleen maar via een inbraak achter het wachtwoord komen, en dat betekent dat je je wachtwoord beheer goed op orde moet hebben.
simpelste andere optie: ex-medewerker }>
blijkbaar doen ze standaard geen reset van alle paswoorden bij een uit dienst of hebben ze al 4 jaar niemand ontslagen :+
Das al net zo kortzichtig als de reactie boven je.

Aannemen dat iedere werknemer van Fox-IT toegang heeft tot de inlog gegevens van hun domeinnamen is nogal wat. De kans dat er iemand met toegang er toe weg gegaan is in de afgelopen 4 jaar is aanzienlijk kleiner dan dat er iemand weg gegaan is in de afgelopen 4 jaar.

Vwb de reactie boven je, als die provider geen rate limiter heeft oid is alles te brute forcen. Even afgezien van het feit dat je die programma's ook in kan stellen om erg beroerde wachtwoorden van 4 karakters met 1 karakterset te genereren.
Toch wel vreemd dat een bedrijf wat zich specialiseert in de IT security zulke beveiligingsrisico's loopt. Dat zou bij een normaal bedrijf al niet mogen gebeuren, laat staan een IT security bedrijf als Fox IT. Gewoon een ongewijzigd wachtwoord sinds 2013, dat verbaasd mij nog het meeste eigenlijk!
Yep en dat is naast een andere reden dat ik Fox-IT niet serieus kan nemen.
Zou ik zaken doen met Fox-IT (wat never nooit zal gebeuren), dan is dit bericht wel het toonbeeld van dat ze hun zaken niet op orde hebben (wachtwoord 4jaar hetzelfde, geen update in de 2fa procedure) en dat voor een gerenommeerd IT beveiligingsbedrijf.

Hier zou je ook als overheid zeker vraagtekens bij moeten gaan plaatsen, dusdanig afhankelijk van een bedrijf dat eigen security niet serieus neemt.
Ik neem aan dat je dan ook geen zaken doet met Microsoft (er worden geregeld bugs en serieuze security issues in hun producten aangestroffen en gelukkig vaak ook weer gefixed) of Apple devices gebruikt (zojuist nog een lek in HomeKit gedicht om zo te voorkomen dat onbevoegden misschien toegang tot op afstand te openen deuren kregen).

Er is geen enkel bedrijf dat de security pot dicht heeft zittten en eerlijk gezegd vind ik dat er snel geimpliceerd wordt dat een wachtwoord bij een provider dat 4 jaar niet gewijzigd is nogal overrated wordt qua security issue. Het hangt naar mijn idee helemaal af van hoevaak het account wordt gebruikt en hoe sterk het wachtwoord is. Wellicht heeft Fox zelfs een schil over het dnssysteem van de registrar heen liggen waarbij geautomatiseerd ingelogd wordt. Als de registrar wachtwoordwijzigigen niet geautomatiseerd toestaat (bevestiging door captcha, mailtje naar emailadres,etc) dan leg je bij elke wijziging dat systeem plat. Daarnaast, hoe vaak je het ook veranderd, als het gelekt wordt door een onoplettende medewerker kan dat ook met het wachtwoord dat een uur geleden gewijzigd is. Het is mogelijk veiliger als je het vaker wijzigt, maar dat hoeft niet zo te zijn.

Het stukje 2fa is uiteraard zeer wenselijk maar ook hiervoor geldt een deel van bovenstaande. Als er geautomatiseerde processen achter zitten kun je daar niet mee uit te de voeten, dat lijkt me juist een basisfunctie van 2fa.

Voor mijn gevoel is FoxIT juist een bedrijf dat laat zien dat het, ondanks dat het niet 100% veilig is, de procedures zo ver op orde heeft dat ze binnen afzienbare tijd (ik vind het behoorlijk snel) kennis van het probleem hebben en de impact hebben weten te beperken en direct met tegenmaatregelen voor herhaling zijn gekomen. Dat is bij menig groot bedrijf dat veel grotere budgetten voor security heeft geregeld niet het geval.

Anyway, my 2 cents.
Ik ben het voor een deel wel met je eens. Maar bier helemaal. Daar is DNS te cruciaal voor. Dus hadden ze geen genoegen mogen nemen met een provider die zijn zaakjes niet op orde heeft.

Natuurlijk kunnen ze iets over het hoofd zien, maar niet op zo'n onderwerp. Practice what you preach!
+3. Er is geen enkel bedrijf dat het 100% op orde heeft, er werken immers overal mensen...
Juist deze openheid over de hack en de snelle opsporing ervan geven mij een uitstekend gevoel.
Ga dit nu niet zitten bagataliseren. Dit is een ernstige fout en zo'n security tekortkoming zoals wachtwoorden 4 jaar niet wijzigen.

Het is niet de bakker om de hoek waar dit gebeurt maar een bedrijf met ICT-security en advies als core business.

Niet fijn dat een deel van hun klantenbestand zo is buitgemaakt.
Als klant zal dit geen fijn gevoel zijn, want ben je dan de volgende target?
NIST geeft juist aan dat wachtwoorden wijzigen niet meer nodig is. Wachtwoorden wijzigen, zolang ze niet gelekt zijn, geeft juist meer issues dan het oplost.
Dus beetje vreemd om een bedrijf hierop aan te vallen!

Nu zou je kunnen zeggen: dit is wel heel lang voor een wachtwoord op een publiek systeem, maar als het systeem van hun aanbieder gewoon netjes meldingen geeft over mislukte inlogpogingen had dit al eerder opgevallen.

nieuws: NIST-medewerker achter huidige wachtwoordeisen heeft spijt van zijn werk

+1 dat ze juist open zijn hierover.
Je wachtwoorden wijzigen heeft weldegelijk zin ookal zijn ze niet gelekt, dat is hoe je beschermd tegen brute force attacks. natuurlijk is dat voor het overgrote gedeelte niet relevant, maar voor een bedrijf dat specialiseerd in oa staats ict is dat behoorlijk relevant aangezien die het doelwit zijn van staatshackers, dat is andere koek dan het wachtwoord van jenneke de oppas moeder te verduren krijgt.
Als het systeem van hun aanbieder gewoon netjes meldingen geeft over mislukte inlogpogingen dan weet je als een brute-force gaande is.
Tja maar dat is nou juist waarom je niet een single point of failure wilt hebben. Als als als is allemaal erg leuk, maar in praktijk gaat het soms mis door een configuratie fout oid. de zwakste schakel is vrijwel altijd de mens zelf. Je moet gewoon altijd verwachten dat iemand aan het inbreken is op elke laag van je beveiliging als je zn bedrijf bent en er niet vanuit gaan dat de vorige laag je aanvaller wel tegen gehouden heeft.

[Reactie gewijzigd door t link op 15 december 2017 23:00]

Vanzelfsprekend 2FA aan hebben.

Maar als je wachtwoorden moet gaan wijzigen voor brute-force te voorkomen is dat denk ik (en dus NIST ook) vrij zinloos.
NIST kan zeggen wat ze willen, maar dat is voor 99 bedoelt voor bedrijven hun password policy naar consument niet voor interne password policy. dit zeggen ze ook gewoon zelf. De reden hiervoor is dat mensen forceren hun wachtwoord te veranderen vaak veroorzaakt dat mensen zwakke wachtwoorden gaan kiezen. dit is compleet irrelevant bij belangrijke wachtwoorden binnen bedrijven die gewoon ergens opgeschreven zullen worden, daar maakt het geen zak uit omdat je het niet hoeft te onthouden.
No more expiration without reason. This is my favourite piece of advice: If we want users to comply and choose long, hard-to-guess passwords, we shouldn’t make them change those passwords unnecessarily.

[Reactie gewijzigd door t link op 16 december 2017 10:47]

uit onderzoek van beveiligings-experts is gebleken dat wachtwoorden veranderden niet de juiste oplossing is, echter een wachtwoord dat bestaat uit een zin van random woorden/letters werkt beter. TNO werkt sinds redelijk recente tijden hiermee.
Niet de juiste oplossing voor wie?
bron? Regelmatig een wachtwoord wijzigen is altijd een zinvolle extra bescherming.
Alles kan gekraakt worden, je moet het ze alleen zo moeilijk mogelijk maken.

Dat heeft Fox-IT dus duidelijk niet gedaan, ze hebben op dit punt zitten slapen.
Gewoon een ongewijzigd wachtwoord sinds 2013, dat verbaasd mij nog het meeste eigenlijk!
Als er zelden gebruik wordt gemaakt van de account en het een sterk wachtwoord betreft is dat toch eigenlijk geen probleem.
Naja als het account een dergelijk belangrijk onderdeel van je bedrijf betreft, dan is de beveiliging daarvan zeer belangrijk. Er wordt niet voor niets aangeraden om eens in de zoveel tijd wachtwoorden te veranderen. Dit is nodig om te voorkomen dat kwaadwillenden het wachtwoord ergens kunnen stelen en elders weer kunnen gebruiken of vaker bij dezelfde plek als waar het gestolen is kunnen gebruiken. Het is nooit verstandig om helemaal niet je wachtwoorden te wijzigen.
Ben ik met je oneens; als een complex wachtwoord niet of nauwelijks wordt gebruikt, maakt het ook niet uit of je het wijzigt in een ander complex wachtwoord (van dezelfde sterkte). Het regelmatig wijzigen van het wachtwoord wordt aangeraden, om ervoor te zorgen dat als iemand je wachtwoord heeft achterhaald, geen toegang meer heef tot dat account. En de kans dat iemand het achterhaald heeft volgens mij met de volgende factoren te maken;
1. wachtwoordsterkte (en dan vooral de lengte),
2. frequentie van gebruik en
3. plaats waar je het gebruikt (wel of niet in openbare ruimtes).
Aangezien je mag aannemen dat een beveiligingsbedrijf zijn registrar wijzigingen niet op een publiek plaats zal doen en wachtwoordsterkte ook sterk genoeg was, is er m.i. weinig reden om het wachtwoord te wijzigen.
Vandaar ook mijn nuancering in het feit dat het mogelijk meerdere malen op dezelfde plek/website gebruikt kan worden ;) Overigens ben ik het wel met je eens hoor in dat het maandelijks wijzigen van je wachtwoord als een group policy onzinnig is en alleen maar ervoor zorgt dat mensen wachtwoorden gaan gebruiken in de zin van passwordmaart, passwordapril, passwordmei. Dat werkt inderdaad averechts, echter om het helemaal niet te wijzigen kan in sommige gevallen dus onverstandig blijken. Maar dat is naar mijn idee het geval, gelukkig zijn er hierin meerdere meningen aangezien er anders nooit verandering zal zijn ;)
Dat is niet helemaal waar. Als op een of andere manier de hash van het wachtwoord bekend is dan is het een kwestie van tijd voordat deze gekraakt is. Dat is een groter gevaar dan dat een complex, zeer zelden, gebruikt wachtwoord uitlekt en langere tijd wordt gebruikt.

Als je elke zoveel tijd je wachtwoord en dus hash veranderd ben je aanvallers op die hash voor. Tegen de tijd dat ze deze gekraakt hebben ben je al weer 1 of meerdere wachtwoorden verder.
Bij een goed algorithme en een sterk wachtwoord mag de hash best bekend zijn.
Om te voorkomen dat niet random of korte wachtwoorden snel gekraakt worden wordt er ook salt aan een wachtwoord toegevoegd voordat deze gehashed wordt, zodat je geen dictionary attack kunt doen en de "kwestie van tijd" honderden jaren wordt.
Honderden jaren geloof ik niet zo in, met de juiste hoeveelheid processorkracht en natuurlijk een portie geluk zou ik het risico eerder als enkele jaren inschatten.
De salt moet ook opgeslagen worden en is dus ook te ontvreemden.

Als je wachtwoorden 1 a 2 keer per jaar wijzigt is er niets aan de hand.
Nee hoor, dat wordt alleen aangeraden omdat het heel makkelijk is in te stellen door systeembeheerders. Net als geneuzel zoals 5 speciale tekens in je wachtwoord moeten hebben. Zie bijvoorbeeld: https://www.ftc.gov/news-...andatory-password-changes. Het is zo goed als puur schijnveiligheid wat het geeft. Hetzelfde als dat wanneer je een hoofdletter eist, de eerste letter een hoofdletter wordt. Speciale tekens? Uitroepteken of vraagteken erachter. En dat zijn dingen die hackers ook weten, dus dictionary attacks nemen die zaken gewoon mee.

Enige reden om je wachtwoord te wijzigen soms is inderdaad vanwege de kans dat hij ergens anders is buitgemaakt, dus als je een wachtwoord hergebruikt hebt. Maar het heeft ook nadelen. En als een hacker Wachtwoord!2017 heeft buitgemaakt, dan kan hij vast wel bedenken dat volgend jaar het Wachtwoord!2018 gaat zijn.
Ik lees de discussie over het wel of niet vernieuwen van wachtwoorden, maar ik lees nergens het argument: Je moet regelmatig dit soort basis-admin wachtwoorden wijzigen, vanwege het feit dat medewerkers komen en gaan (ja, dat gebeurt ook bij sysadmins). Als je in 5 jaar tijd 10 verschillende sysadmins hebt gehad die het wachtwoord kennen dat nooit gewijzigd is, dan heb je een goede reden om het wachtwoord periodiek = regelmatig te wijzigen. Het wachtwoordbeleid dat je voert kan voorkomen dat er debiele wachtwoordreeksen zoals welkom2017 welkom2018 worden gebruikt.

Samen met 2FA verklein je zo het risico aanzienlijk dat oud-medewerkers met inloggegevens aan de haal gaan.

Hoe wordt hier door de pro's tegenaan gekeken?
De situatie die je schetst heeft wel niets met periodiciteit te maken. Admin weg -> wachtwoorden direct vervangen.
er zijn genoeg aws servers met predictability dictionary alterations data sets waar gebruik van wordt gemaakt voor brute forcen van wachtwoorden. Men moet gewoon 32+ lange zooi laten genereren door 1password apps en dergelijke.
Blijkbaar toch wel zoals we hier zien. Het gevaar zit 'm niet zozeer in het brute forcen maar in het algemeen verzamelen van gegevens al dan niet door social engineering. Ik vermoed dat een IT beveiliger nog wel wat andere goeden redenen kan bedenken waarom dit risicovol is.
Inderdaad opvallend. Wel goed dat ze het niet verbloemen en open kaart spelen.
tja, alsof ze andere mogelijkheid hebben. Dit is misschien nog het minst erge. Wel bijzonder schrikbarend dat ze zo laks omgaan met dit specifieke security onderdeel. Is Prins daarom ook 'weg-gepromoveerd' ?
De issue met wachtwoord verandering is alleen een dingetje als er veel werknemers zijn die het wachtwoord kennen. Als een vaste kracht deze weet, en deze genoeg complexity bevat, dan is er niks aan de hand.
Maar waarom zou een vorige week gewijzigd password ook maar iets aan de situatie veranderd hebben? Als het password niet hergebruikt is en niet is gelekt is is een password veilig. Na een dag of na 7 jaar.
Realistische verwachtingen heb je...
De maatschappij en bedrijven zijn ook geen volmaakte éénheid.
Wanneer je componenten bij elkaar bungelt en niet volledig in eigen beheer hebt en geregeld alles tot in ieder detail herevalueerd, wat op zich onhaalbaar en afleidend is, is het onhaalbaar omdat iedere onderverdeling zelf vervolgens ook niet volmaakt of up2date is en dezelfde aandacht vereist.

Bij een complex en verdeeld groot stelsel zie je wel eens wat over het hoofd.
Zeker met een focus naar buiten toe mis je jezelf wel eens.

Een introvert laat na naar buiten toe... Een extravert laat na naar binnen toe.
En dan hebben we het nog niet over integriteit/verdeling, oorzaak en gevolg zelf rond dit pivot point en axis en hoe deze corelateren tot andere objecten.

De Romeinen vonden het al interessant om eenheid en tactiek te bedenken en zo kwam uiteindelijk 'de driehoek' tot stand, geïnspireerd door, raad eens.
Allemaal bijgelovige zotte verdraaide hervormde bende, maar jij bent al dat, 1000 jaar later, natuurlijk overstegen. ;)
Want ja, kinderen wetennalles vanzelfsprekend beter.

Met een focus op en in IT laat je op ander vlak na als je de eenvoudige herhalende wet niet zoekt en toepast. En zelfs als je die vind dan zie je dat daar niet de oplossing maar de veroordeling ligt. Want volmaaktheid van verdeeldheid via veroordeling is onhaalbaar. Uiteindelijk blijft er niets van over.

En hoewel dit Jip en Janneke taal is begrijpen maar weinigen waar ik over spreek en naar refereer of kunnen het zich visualiseren. Zo is het gewoon gesteld met de mens door al de afleiding en verleiding dat ze niet eens de simpele wetten van aantrekking, afstoting en samenhang, opvatting en uiting, voor oog hebben want wie ligt er wakker om? Nee je moet je bezig houden met 2fa en DNS security dan leef je voor altijd.

Peace and/or Justice is iets om over na te denken en niet zo lichtzinnig te veroordelen alsof je weet wat er bij komt kijken.

Kun je lang en breed over praten maar gewoon even realistisch blijven... Kthx.

[Reactie gewijzigd door 936443 op 14 december 2017 20:03]

De reden dat mensen niet begrijpen waar je het over hebt is dat je woorden als volmaaktheid van verdeeldheid gebruikt, en veroordeling in een compleet andere context dan de rechtelijke context die mensen gewend zijn.
Ik snap ook geen hout van wat je daarmee bedoelt. Wat de romeinen en die driehoek met elkaar of de rest van het verhaal te maken hebben ontgaat me ook compleet.
waar je ineens op engels overgaat betwijfel ik of je zelf wel begrijpt wat je zegt. welke pivot point en axis, in welke context? Het lijkt er echt op dat je maar met wat losse termen gooit om slim te lijken.

Nu geloof ik best dat er wat achter zit, maar je zult, als je concepten wilt overbrengen op mensen die niet in jouw vakgebied of interesse groep liggen, meer uitleg moeten gebruiken dan als je met iemand praat die snapt wat jij met die woorden bedoelt. Anders kun je net zo goed tegen een muur praten.

[Reactie gewijzigd door Origin64 op 15 december 2017 11:42]

Toch wel ironisch, een beveiligingsbedrijf dat z'n wachtwoord vier jaar lang niet wijzigt :+
Het gaat hier enkel om de registrar waar Fox-IT zijn domeinnnamen heeft staan, oftewel een ander bedrijf dan Fox-IT zelf.
Het gaat hier om het wachtwoord van Fox-IT bij de registrar, niet het wachtwoord van de registrar zelf.

Lullig foutje maar verder hebben ze de wijziging wel weer snel doorgehad, is ook wat waard.
Lullig foutje maar verder hebben ze de wijziging wel weer snel doorgehad, is ook wat waard.
Dit dus, foutjes maken is menselijk, en als je vervolgens ziet dat Fox-IT binnen zeer korte tijd de hack doorhad, de schade kon beperken en tegelijkertijd de boel kon laten door laten lopen voor onderzoek, kan ik alleen maar concluderen dat ze de boel daar best goed op orde hebben.
Knap dat jij kunt concluderen dat zij de zaken goed op orde hebben doordat ze deze, vrij opzichtige, aanval relatief snel doorhadden.

Als een bedrijf dat security schreeuwt en daarmee ook altijd in de spotlight wil staan iets simpels als een password policy niet op orde heeft en daarbij ook nog eens genoegen neemt met een registrar die geen 2FA ondersteuning biedt, wetende dat je wel eens een high-profile target kunt zijn, neig ik eerder naar een conclusie dat ze de zaakjes niet op orde hebben.
en dat het pas 3 maanden later naar buiten komt. Openheid?
Dat vind ik nog niet zo raar. Eerst de betrokkenen informeren. Vervolgens onderzoeken en dan naar buiten gaan. Lijkt me een goede volgorde, bij te vroeg openbaar gaan kunnen eventuele sporen weer worden gewist.

Maar een beveiligingsbedrijf dat zijn wachtwoord te lang niet wijzigt vind ik niet vertouwenswekkend. En dan lees je vanmorgen dat ze kritiek hebben op de beveiliging van sluizen e.d..
Ze zijn niet verplicht om jou of mij te informeren, wel om de getroffenen te informeren en aangifte te doen. Dat is gedaan. Ik zou niet weten waarom jij of ik het zou moeten weten.
Dit dus, foutjes maken is menselijk, en als je vervolgens ziet dat Fox-IT binnen zeer korte tijd de hack doorhad, de schade kon beperken en ....
Nou....er zijn dus wel vertrouwelijke bestanden onderschept en in verkeerde handen terecht gekomen. Ik zou dat niet willen scharen onder het kopje 'Toch best goed gedaan'. Zeker gezien de redenen waarom ze gehacked konden worden:
  • Provider zonder 2FA
  • 4 jaar lang wachtwoord niet wijzigen
Beide waren eenvoudig te voorkomen geweest.
Echter zouden ze deze aanval hebben voorkomen indien ze deze twee problemen hadden aangepakt? Uiteindelijk blijft het koffiedik kijken zolang we verder niets weten.
Het is in iedergeval een goeie wakeup call dat ze een keertje binnenkort aan tafel gaan zitten met 'waar doen we nu nog steeds fout, zijn er policies die we kunnen introduceren waarmee we dit soort zaakjes voortaan ook op orde hebben, met een fallback en/of failover - als er wel iets lekt, welke info is er dan encrypted, wat moeten we hierin nog aanpassen en hoe slaan we sleutels etc anders op vanaf nu' ..
Ik kan alleen maar concluderen dat ze de boel niet goed op order hebben.

Je hebt het hier over een bedrijf dat als leidend in de markt van beveiliging wordt gezien.
Het niet wijzigen van een wachtwoord 4 jaar lang is natuurlijk een grote fout voor een bedrijf als dit.
De motivatie we hebben de registrar 18 jaar geleden gekozen en deze had geen 2 traps authenticatie is de volgende blunder.
Wederom je bent een top beveiligingsbedrijf dan kies je een andere registrar die het wel ondersteund.

Dat ze het snel in de gaten hadden neemt niet weg dat ze gewoon gehackt zijn er er bestanden onderschept zijn.

Voor een leidend bedrijf op dit gebied noem ik het gewoon een blamage en de fouten die gemaakt zijn zouden nooit gemaakt moeten zijn.
Hier ben ik het volledig mee oneens.

Om te beginnen ben ik het er niet mee eens dat het niet wijzigen van een wachtwoord, 4 jaar lang, op ook maar enige manier onveilig is. Ik ga er even van uit dat het gaat om een zeer sterk wachtwoord, dat in geen andere systemen van Fox-IT gebruikt wordt. In zo'n scenario hoef je helemaal niet je wachtwoord telkens aan te passen. Dat fenomeen bestaat omdat mensen en bedrijven slordig met wachtwoorden om gaan. Dat staat los van het wachtwoord beleid van Fox-IT.

Daarnaast kun je spelen met definities. 'Fox-IT' is niet gehacked naar mijn mening. Een toeleverancier is gehacked, waar Fox-IT afhankelijk van is. Ook zeker iets om in de gaten te houden, en daar heeft Fox-IT een stokje laten vallen. Maar om nu te zeggen dat Fox-IT gehacked is, zonder dat het interne netwerk ook maar 1 seconden in gevaar is geweest, vind ik overdreven.

Alles en iedereen is te hacken. Zo ook Deloitte, Apple, Microsoft en dus ook Fox-IT. Je kunt best roepen dat fouten nooit gemaakt mogen worden, maar realistisch is dat zeker niet.
Ik ga er even van uit dat het gaat om een zeer sterk wachtwoord, dat in geen andere systemen van Fox-IT gebruikt wordt. In zo'n scenario hoef je helemaal niet je wachtwoord telkens aan te passen. Dat fenomeen bestaat omdat mensen en bedrijven slordig met wachtwoorden om gaan. Dat staat los van het wachtwoord beleid van Fox-IT.
Mijn gedachte ook, maar was het wachtwoord wel zo sterk en nergens hergebruikt vraag ik me af.
Hoe heeft de attacker anders kunnen inloggen bij de registrar? Mogelijk een lek in het systeem van de registrar? Of wellicht toch passwod re-use of social engineering?
Ze houden zich hierover een beetje op de vlakte lijkt het.
"Maar om nu te zeggen dat Fox-IT gehacked is, zonder dat het interne netwerk ook maar 1 seconden in gevaar is geweest, vind ik overdreven."

Dat is dus wel het interne netwerk aldus het artikel:
"Gedurende tien minuten ving de aanvaller e-mail voor Fox-IT af"

Als een hacker DNS records wijzigt van JOUW domein, dan vind ik wel dat Fox-IT is gehacked. Er is niets fout gegaan bij de registrar, maar bij Fox-IT.
Ik ben het eigenlijk wel met je eens. Ik vind eigenlijk ook wel dat er toch veel berichten zijn over het vier jaar oude wachtwoord. Een goed sterk uniek wachtwoord is net zo sterk of zwak vier jaar terug als gisteren. Mocht er een lek bij de registrar zijn dan moet vandaag dat vier jaar oude wachtwoord niet werken natuurlijk. En volgens mij lees ik nergens dat deze data gelekt is, dus ik vind dat argument van die posts dan eigenlijk ook niet echt passen bij het bericht.
Dat Isa niet helemaal waar. Dat ligt eraan bij wie dit wachtwoord bekend is. Als maar 1 persoon dit weet en daar netjes mee om gaat -> zeker waar. Maar de werkelijkheid is weerbarstiger. Er kunnen natuurlijk ook oud-medewerkers zijn die dit wachtwoord weten. Om maar wat te noemen.
Dus deze lek is niet een mitm, maar oud personeel die het gelekt heeft?
Allebei: een MitM door middel van een gewijzigd DNS record. Dat laatste was voor elkaar gekregen vanwege mindere beveiliging bij die leverancier. En oud-medewerker de schuld geven is maar een theorie overigens...
gaat om de menselijke factor...
je wilt gewoon niet in de situatie (kunnen) komen dat een oud-medewerker (of leverancier, of weet ik veel wie ooit dat ww onder ogen heeft gekregen), zo'n ww kan gebruiken.
Tuurlijk zal het ww zelf wel sterk en veilig zijn, maar hoe langer je hetzelfde ww hebt, hoe meer mensen het kennen en hoe zwakker het dus eigenlijk wordt.
2 factor had ervoor kunnen zorgen dat het niet wijzigen van het ww geen effect had gehad. Het is een beetje een lullige combinatie om niet aan beiden gedacht te hebben als beveiligingsbedrijf.
Alle bedrijven gebruiken diensten met wachtwoorden die jaren hetzelfde zijn maar in een wachtwoordmanager staan. Dat hoeft niet perse om de zoveel tijd verandert te worden. Het moet vooral een goed zijn en weinig mensen mogen er toegang toe hebben
Klopt maar zoals vaker gezegd moet je dan ook 2FO hebben als extra bescherming. die was niet aanwezig en had voor een bedrijf als fox-it standaard moeten zijn. Dat is gewoon beetje laks en lui gedrag geweest maar bij een bedrijf dat aan de top van ict beveiliging zit een grote blunder.
Je hebt een voorbeeld functie maar goed het blijkt nu dat ze daaraan niet kunnen voldoen.
Daar ben je niet veel mee als dat bedrijf dat niet aanbied en jij je contract dient uit te zitten..
Domein kun je zo omzetten naar andere registrar, heeft niets met contract te maken.
Je hebt sleutel nodig voor overdracht en zet het zo om.
Heb je vooruit betaald krijg je misschien je geld niet terug maar we praten hier nu niet over duizenden of zelf honderden euro's voor overzetten naar andere registrar.
Hoge bomen vangen veel wind. Fox-IT is er altijd als de kippen bij om wat te roepen bij NOS ed. als er Security nieuws is. Nu zijn ze zelf aan de beurt, en dan is het niet slim om zo lang te wachten met informatie over oorzaak en maatregelen.
Geen lullig foutje, alle grote registrars ondersteunen onder andere Two-Factor authenticatie en IP-restricted login. Dan sluit je dit in ieder geval al uit. Vooral als security bedrijf is dit een grote flater. Je kan fouten maken, maar deze niet.

Ze zijn na deze fout overgestapt naar Cloudflare als registrar:
https://www.cloudflare.com/registrar/

DNS hebben ze nu ook in eigen beheer, na de hack. 8)7

[Reactie gewijzigd door Karizma op 14 december 2017 14:57]

Als je de tekst had gelezen had je kunnen zien dat de registrar geen Two-Factor authenticatie ondersteunde in 2013 (toen het account aangemaakt was)

Ze hebben daar wel meer dan één account en waarschijnlijk ook bij meer dan één registrar, dat daar een account tussendoor glipt als het gaat om wachtwoord veranderen of na jaren een keer controleren of er inmiddels wel Two-Factor authenticatie beschikbaar is, is menselijk lijkt me.

Verder ontken ik ook niet dat het niet netjes is dat een security bedrijf juist dit vergeten is, ik geef alleen aan dat bij Fox-IT ook mensen werken.
Ik heb de tekst gelezen, bedankt voor de tip. Je geeft het antwoord zelf al:
"Als je de tekst had gelezen had je kunnen zien dat de registrar geen Two-Factor authenticatie ondersteunde in 2013 (toen het account aangemaakt was)"

Dan heb je nog 4 jaar de tijd gehad om dit te controleren/lobbyen bij je registrar, of transferren naar een andere registrar. 2FA is anno 2017 toch wel een must voor zulke zaken.
Nog een keer fout. De registrar ondersteunde geen 2FA in 1999 (18 jaar geleden) toen het account werd aangemaakt. In 2013 werd alleen het wachtwoord gewijzigd, aldus de tekst. Het is dus niet bekend of de registrar toen wel 2FA ondersteunde; zo ja, dan had Fox-IT dat eigenlijk moeten gaan gebruiken.
Het is sowieso een beetje raar dat dit overkomt alsof ze sinds 2013 niet een keertje hebben nagedacht over 2fa op hun diensten en producten die ze afnemen. Ik doe dit bijv bijna elk jaar. Goeie kans dat ondanks 2fa ze nog steeds dezelfde security-vraag/antwoord hebben uit 1999 dan :D
Ik lees hem toch anders,

Volgens het beveiligingsbedrijf was de hack mede mogelijk, omdat het wachtwoord sinds 2013 niet gewijzigd was. Daarnaast ondersteunde de registrar geen tweetrapsauthenticatie. "Wij hebben onze dns-provider achttien jaar geleden gekozen toen 2fa nog geen overweging of optie was", aldus Fox-IT in een publicatie waarin het verloop van de aanval beschreven wordt. Over de toedracht en details over mogelijke aanvaller meldt het bedrijf niets.

Er staat nergens dat in 2013 2FA geen optie was ze hebben toen schijnbaar wel het password veranderd maar of 2FA wel of niet beschikbaar was verteld te tekst niet (volgens mij)
Je hebt gelijk, ik moet zelf beter lezen blijkbaar 8)7
is, ik geef alleen aan dat bij Fox-IT ook mensen werken.
We hebben het incident snel gedetecteerd en ondernamen actie, waarmee we de effectieve duur van de MitM konden beperken tot 10 uur en 24 minuten. Dat is kort, gezien het feit dat de meeste incidenten pas na weken worden ontdekt.
Structureel tekortkoming is iets anders dan een vergissing.

Wachtwoord niet monitoren, dns mutaties niet monitoren.

Registrars kunnen gehacked worden maar bij mutatie van zonefiles of nameservers dien je voor je belangrijkste domeinen toch wel binnen een paar minuten een sms te ontvangen.

Korte toevoeging:

Er is vrijwel niets makkelijkers om je zonefiles/nameservers voor extern bereikbare domeinen te monitoren. Dit kun je uitbesteden of in 5 minuten een oneliner voor maken die sms via http een sms gateway aanroept.

[Reactie gewijzigd door totaalgeenhard op 14 december 2017 15:17]

Doelgroep van Fox-IT zijn mensen die zichzelf moeten indekken en er geen verstand van (willen) hebben.

Voor die doelgroep is wat ze nu gecommuniceerd hebben zeer acceptabel.... zelfs compliment waardig..

Maar goed... het feit dat leeuwendeel van de klanten overheidsinstellingen zijn en buitenlandse partijen bij onze geheimen mogen komen, maakt dit incident niet zo bijzonder...
Voor die doelgroep is wat ze nu gecommuniceerd hebben zeer acceptabel.... zelfs compliment waardig..
Ze moeten bij zulke fouten wel communiceren (sterker nog, ze zijn het verplicht). Ik heb bij meerdere bedrijven gewerkt waar informatie van Fox-IT als een holy grail werd aangenomen. Vooral het hogere management denkt dat ze daar alles perfect op orde hebben

Het werd eens tijd dat het Fox-IT eens overkomt en laat zien dat zij net zulke grote blunders maken. Misschien leren de klanten er ook eens van niet alles van ze over te nemen en eens te luisteren naar hun eigen IT-afdeling.
Doelgroep van Fox-IT zijn mensen die zichzelf moeten indekken en er geen verstand van (willen) hebben.
Ben ik niet mee eens. Veel bedrijven maken gebruik van hun diensten om weer aan hun klanten te laten zien "kijk, we zijn veilig want Fox-IT zegt dat". Als het uiteindelijk toch mis gaat kunnen ze naar Fox-IT gaan wijzen.

[Reactie gewijzigd door vali op 14 december 2017 15:54]

Ben ik niet mee eens. Veel bedrijven maken gebruik van hun diensten om weer aan hun klanten te laten zien "kijk, we zijn veilig want Fox-IT zegt dat". Als het uiteindelijk toch mis gaat kunnen ze naar Fox-IT gaan wijzen.
Dus je bent het wel met hem eens want je beschrijft hier mensen die zichzelf indekken.
Indekken ben ik het uiteraard mee eens, maar niet het stukje geen verstand van willen hebben. Dit geldt misschien voor deel van het management, maar zeker niet alle IT-afdelingen.

[Reactie gewijzigd door vali op 14 december 2017 18:18]

Als jij de tekst goed had gelezen had je gezien dat ze al 18 jaar bij de dns-provider zitten.
2013 is enkel het jaar van de laatste wachtwoord wijziging
Volgens het beveiligingsbedrijf was de hack mede mogelijk doordat het wachtwoord sinds 2013 niet gewijzigd was. Daarnaast ondersteunde de registrar geen tweetrapsauthenticatie. "Wij hebben onze dns-provider achttien jaar geleden gekozen toen 2fa nog geen overweging of optie was",
@erazer33 was me voor

[Reactie gewijzigd door kTdnG op 14 december 2017 16:06]

Je bedoelt in 1999 toen het account gemaakt was, in 2013 is voor het laatst het wachtwoord gewijzigd.
DNS is wel dusdanig cruciaal dat ze (een bedrijf dat een grote mond heeft over security) zich niet achter "sorry, over het hoofd gezien, we hebben dital heel lang" kunnen verschuilen imho.

Wel goed dat ze het snel door hadden en bekend maken etc
Jouw smiley komt een beetje over dat je dit raar of met rolleyes bekijkt.. hoe bedoel je het? Wat is er mis mee om je manier van doen aan te passen na een hack om het allemaal iets te verbeteren?
Ze hadden het sneller kunnen doorhebben om gebruik te maken van een dienst met two factor authentication. Een tool die zeker een security bedrijf wel moet kennen en ook zoveel mogelijk moet toepassen. En als een hoge piet toch bepaald dat ze gebruik moeten maken van deze DNS-dienst, dan hadden ze een security policy moeten hebben om het wachtwoord om de x aantal dagen te veranderen. Vier jaar lang is serieus te gek voor woorden.

Verder vind ik het als beheerder veel fijner om foutieve inlogpogingen terug te zien te zien, dan na x aantal tijd er erachter komen dat ze binnen zijn gekomen.

Nu is het maken van fouten uiteraard menselijk, maar je wilt niet weten hoeveel bedrijven het advies van Fox-IT als een soort van Holy Grail zien. Dan wil je als Security bedrijf zeker niet zulke stomme fouten maken.

[Reactie gewijzigd door vali op 14 december 2017 15:20]

Maar wel het wachtwoord dat Fox-IT daar ingesteld heeft voor zover ik het lees.
Ik lees het toch echt als "Fox-IT heeft al 4 jaar hetzelfde wachtwoord bij die registrar".
Dat is natuurlijk altijd de zwakke schakel die aanvallers kiezen. Een extern bedrijf waar je afhankelijk van bent. Of het nou een ISP is of onderhoudsbedrijf, ze gaan altijd via-via.

Wel knap dat ze de DNS instellingen dagelijks checken, want wie doet dit nou wel?
Wel knap dat ze de DNS instellingen dagelijks checken, want wie doet dit nou wel?
Een klein scriptje kan dat natuurlijk voor je doen. Zal hier ook wel gebeurt zijn anders zou het niet zo snel opgemerkt zijn.
Nee, als beide kanten wachtwoord niet toegankelijk opslaan is er geen enkele reden om wachtwoord te veranderen. En als dat niet het geval is, dan is elke periode groter dan 1 clockcycle te lang. Dan is 3 maanden niet beter dan 1 dag of 1 seconde.
Tuurlijk wel; je schakelt de menselijke factor verder uit. Voor zover het bijv om oud medewerkers gaat (met een wrok bv)
Dat zou zin hebben als het wachtwoord gedeeld is over meerdere mensen. En net zoals jij niet hetzelfde wachtwoord voor verschillende sites/doeleinden moet gebruiken, moet een organisatie niet één wachtwoord aan meerdere mensen geven.
En bij account van oud medewerkers deactiveer/verwijder je dat account.

Trouwens als de beveiliging gaat hangen op de 2factor is het in feite nog maar een 1 factor beveiliging.
Tja, leuk in theorie... Welkom in de echte wereld. Zo'n account is echt niet persoonsgebonden, al is het maar omdat er iemand weggaat en dat hij dan dingen overdraagt aan zijn voorganger...
Als dat de echte wereld is, dan is er iets fout.
Een persoon die weggaat, en dan is de beveiliging in gevaar, is een foute organisatie.
En als veranderen van een wachtwoord dat bekent is bij een weggaand persoon onmogelijk is voor de organisatie, dan is dat wederom een foute organisatie.
2fa heeft er niets mee te maken.
Als jij en de andere partij een wachtwoord hebt wat niemand anders weet is er niet aan de hand.

Snel veranderen en complexiteit van wachtwoord hebben nauwelijks iets met elkaar te maken.

Wat helpt: gebruik voor elke site/service een ander wachtwoord. Dan is als er één gecorrumpeerd is, niks aan de hand met ander sites.
En als je een site hebt, maak dat bij elke wachtwoord poging er 200 milliseconden wachttijd is. Voor een mens is dat vrijwel onmerkbaar, maar het frusteert in hoge mate wachtwoord aanvallen. Zelfs al zou de ander kant een quantum computer hebben, als na elke poging 200 milleseconde gewacht moet worden duurt het eeuwen bij een simpel wachtwoord van 8 tekens. Beter nog begin met 50 millisecs, en verdubbel de tijd na elke mislukte poging.
Je verhaal klopt alleen heeft 2fa er alles mee te maken. Een extra beschermlaag. Zelf al is jou password bekend moet die van de 2de laag ook gekraakt kunnen worden. Onmogelijk, nee maar hoe realitsich is het dat het wel gekraakt kan worden.
Dus niet. Als 1ste laag veilig is, is 2de laag niet nodig. Als 1ste laag niet veilig is 2de 1ste laag.
Wachtwoorden en verlooptijd stammen uit een ander tijdperk, waarin een hele groep soldaten een wachtwoord kreeg. Maar vroegâh of later was een soldaat gevangen en was het wachtwoord waardeloos. In zo'n situatie is periodiek vervangen wachtwoord nuttig.
Maar in een digitaal systeem met 2 partijen met één gezamenlijk wachtwoord is vervangen niet nodig.
Als 2fa gekoppeld is aan een apparaat als een mobiel, waarop ook al je wachtwoord gekraakt is, biedt het niet veel meer.
Bij 2fa zou apparaat waarmee je verbinding maakt, en apparaat voor de 2de factor nooit hetzelfde apparaat mogen zijn.
Leuke stelling als de eerste laag veilig is is de 2de niet nodig.

2de laag is nodig in het geval de eerst misbruikt kan worden, het is dus een extra bescherming die tegenwoordig gewoon nodig is.

Voor de rest klopt het 2fa mag nooit hetzelfde apparaat zijn.
Mooie aanname, maar als beide partijen geen toegang hebben tot het wachtwoord heb je helemaal geen wachtwoord nodig; dan kun je net zo goed het account disablen.
Wat wel weer goed is, is dat ze de aanval openbaar maken.
Drie maanden na de succesvolle aanval, net binnen de termijn dus die de wetgever stelt....
Naar welke wetgeving verwijs je nu?
Dat kan 'm haast niet zijn. Ik heb de hele PDF doorgenomen. Ik zie een meldplicht naar de AP binnen drie dagen na het bekend worden van het datalek. Maar ik zie nergens dat er een verplichting is om binnen drie maanden een lek publiek bekend te maken.
Het zou leuk zijn als @CH4OS zelf nog eens zou reageren.
AP maakt ieder kwartaal een lijst openbaar met gemelde lekken. Slachtoffer is inderdaad niet verplicht dat te doen. Maar gebeurt dus uiteindelijk wel. Staat ook op die pagina.
Gaat die termijn om het publiekelijk maken of het aan de getroffenen bekend maken?
Richting de AP en die maakt het publiekelijk bekend.
Bedankt voor het antwoord. Als ik het goed lees hebben ze dat dus inderdaad gedaan.
Als het wachtwoord zowel sterk genoeg als geheim genoeg is hoeft dat geen probleem te zijn.
Mee eens, maar ze hadden waarschijnlijk de DNS provider gehackt of een mannetje aan de binnenkant omgekocht. Ga het maar bewijzen. Het kan zijn dat de medewerker het wachtwoord al lang geleden had overgedragen aan de hackers maar dat ze gewacht hebben om hun sporen uit te wissen.

[Reactie gewijzigd door ArtGod op 14 december 2017 15:59]

Als de dns provider zelf gehackt zou zijn (dat is nu dus geen sprake van), dan is het wel een heel ander verhaal voor fox it. Op zich mag je er vanuit gaan dat ze hun dns provider zorgvuldig kiezen, maar zelfs een certificering oid biedt dan heb harde garantie
Niet alleen het wachtwoord 4 jaar niet wijzigd.... Hier blijkt ook dat de gebruikte technieken bij toeleveranciers van invloed kan zijn op je eigen bedrijf. Daarom niet alleen je eigen beveiliging scherp zetten maar ook nazien dat je toeleveranciers alles zo veilig als nodig hebben en gebruik maken van courante beveiligingstechnieken.

Nota: Ik zeg bewust zo 'veilig als nodig' en 'courante technieken'. Niet 'zo veilig als mogelijke' en 'state-of-the-art technieken'. Met de laatste krijg je te veel redenen om omwegen te gebruiken omdat die vaak net niet werkbaar zijn.
En dat wachtwoord was vier jaar net zo sterk als vandaag. Hoezo is dit een probleem?
Als je twee dagen terug een nieuw wachtwoord zet en vanmiddag is ermee ingelogt, .. dan maakt het toch ook niet uit?
Ze lieten de aanval doorlopen "voor onderzoek", niks te maken met het moeten wachten tot de TTL van de DNS zeker?
TTL staat op 3600, het "voor onderzoek" argument lijkt dus wel te kloppen.
Dat de TTL nu op 3600 staat zegt natuurlijk niks over de situatie in september.
Als ik als hacker de DNS server kan beheren verander ik niet alleen de A(AAA) records, dan pak ik meteen alles aan.
Zou op mijn webserver ook meteen de HPKP wijzigen, in de hoop dat ze misschien wat bitcoins overhebben voor requestfile die wel werkt. Als je hackt moet je grondig aanpakken hé.
Leuk verhaal, maar ze hebben de nameservers tijdens deze aanval gewijzigd, deze stonden op 3600.
Waarom zouden ze dan nog ruim 5 uur gewacht hebben met het uitschakelen van 2FA? Waarom gaan ze er vanuit dat na een dag het weer veilig was om de boel te activeren, het kan toch zomaar zijn dat er een TTL van 7 dagen is geserveerd in de tussentijd, of mogelijk ook voor andere records (behalve voor hun monitor-ip's natuurlijk)
"de dns-records van clientportal.fox-it.com aan bij de registrar." dit impliceert dat Fox-IT dus niet zelf zijn eigen DNS beheerde? Zou wel vreemd zijn voor een bedrijf als dit.

Nu draaien ze wel op hun eigen netwerk zie ik, wellicht dat ze de switch hebben gemaakt nadat dit fout is gegaan. Iets wat vaak gebeurt in security land: er moet eerst iets gebeuren voordat er wat verandert.
Wellicht dat ze gewoon de DNS record voor fox-it.com hebben aangepast, maar enkel een man-in-the-middel op clientportal.fox-it.com hebben uitgevoerd en de rest hebben gekopieerd zonder aanpassingen.
Men kan ook bij de target de DNS records wijzigen en zo een MITM aanval uitvoeren, maar dat merk je niet.
Bij de registar moet je toch je eigen nameservers opgeven?
Veel registrars bieden gratis DNS hosting, uit het verhaal lijkt het dat Fox-IT hier gebruik van maakte.
Maar dan beheert de registrar de DNS records en het wachtwoord, niet Fox-IT. Dat maakt het kwetsbaar voor misbruik door derden.
Waarom?
Je kunt toch gewoon de NS v/d registrar gebruiken en de juiste srv_ in a, aaaa, cname, mx, etc instellen?
Er zijn heel veel grote bedrijven die juist vanwege de veiligheid hun eigen (d)ns beheren, en eigenlijk hierdoor veel problemen hebben gehad. Het zijn vaak verouderde systemen en met een targeted attack is dan niet 1 ding overgenomen maar het hee zooitje en ze verliezen er nog controle over ook en zijn vaak langer offline. Het is niet altijd de oplossing.
Volgens het beveiligingsbedrijf was de hack mede mogelijk, omdat het wachtwoord sinds 2013 niet gewijzigd was. Daarnaast ondersteunde de registrar geen tweetrapsauthenticatie. "Wij hebben onze dns-provider achttien jaar geleden gekozen toen 2fa nog geen overweging of optie was", aldus Fox-IT in een publicatie waarin het verloop van de aanval beschreven wordt. Over de toedracht en details over mogelijke aanvaller meldt het bedrijf niets.

Vind ik opvallend voor een bedrijf wat als core-bussiness veiligheid heeft... Verder wel interessant om te lezen hoe de aanvaller te werk is gegaan en wat vervolgens de acties waren van Fox. Op een van de laatste Security-meetups hebben ze ook al hun werkwijzen uit de doeken gedaan, dus interessant om te zien hoe ze het aanpakken wanneer ze zelf o.a. het slachtoffer zijn!
Wij hebben onze dns-provider achttien jaar geleden gekozen toen 2fa nog geen overweging of optie was", aldus Fox-IT in een publicatie waarin het verloop van de aanval beschreven wordt.
"En als beveiligingsbedrijf doen we 18 jaar lang niet aan herevaluaties."
Ondanks de amateuristiche fout is het wel professioneel om open kaart te spelen en het zo snel op te lossen, dat wekt wel vertrouwen bij je klanten.
Het herstelt een klein deel van het verloren vertrouwen, bedoel je.
Nee dat bedoel ik niet.
Okee dan ben ik het ernstig met je oneens. Je kunt niet vertrouwen wekken in je professionaliteit door amateuristische fouten te maken. Dat lijkt me taalkundig gezien redelijk logisch. Amateurisme <> Professionaliteit. Twee tegengestelden.

[Reactie gewijzigd door Origin64 op 15 december 2017 11:52]

Taalkundig is dat prima mogelijk. Ik geef namelijk aan dat het professioneel is om open kaart te spelen en problemen snel op te lossen, het maken van amateuristische fouten noem ik niet professioneel. Fox-IT kan er ook voor kiezen om, zoals veel bedrijven dat doen, dit niet uitgebreid te melden en uitleg te geven. Het feit dat ze dit wel doen vind ik professioneel.
Nee, ze zijn verplicht het te melden, de keuze om het zelf meteen in de media te brengen was damage control. Dat gaat om de bottom line, om de euros en hun image. Dat het zo professioneel was, dat is precies wat ze willen dat je denkt. T was slechts eigenbelang. Iemand heft uitgerekend dat het geld oplevert om met de pet in de hand naar buiten te komen. Das ook professioneel, maar volgens mij niet zoals jij het bedoelde.

[Reactie gewijzigd door Origin64 op 15 december 2017 12:00]

Stop even met aannames maken over wat ik bedoel, op deze manier kunnen we geen discussie voeren. We zijn het oneens, laten we het daar maar over eens zijn.
dat lets agree to disagree ding is echt een verspilling van tijd om te zeggen, we waren al op het punt waar het duidelijk is dat we het niet eens zijn.

ik heb voor zover ik zie geen onjuiste aanname gemaakt. jij vindt het professioneel dat ze deze uitleg geven die ze wel moeten geven omdat ze hun datalekken moeten melden en je moeilijk een security incident bij de overheid kunt melden zonder vervolgens aan je klanten uitleg te geven. die informatie is publiek.

ik vind het heel leuk dat je het allemaal zo positief in wilt zien, maar ze hebben hier echt maar het minimale aan inspanning geleverd. ze zijn verplicht om open kaart te spelen. dat kun je de nederlandse overheid positief aanrekenen, maar niet per se het bedrijf. ik acht het zeer waarschijnlijk dat dit nooit zelfs maar naar klanten gecommuniceerd zou worden als die wet er niet was. ze zouden wel gek zijn.

[Reactie gewijzigd door Origin64 op 17 december 2017 11:56]

Wij hebben onze dns-provider achttien jaar geleden gekozen toen 2fa nog geen overweging of optie was
Volgens mij is het periodiek herzien van wat je hebt ook gewoon een onderdeel van security dus is dit feitelijk een beetje een rare verklaring. Ze zeggen namelijk gewoon dat ze dus niet tijdig e.e.a. herzien. NIet dat ik vind dat ze hiervoor nu mega wind moeten gaan vangen maar een beetje lui is het wel van een partij dat hoofdzakelijk brood op de plank brengt door beveiligingsproblemen te duiden.
Zo zie je maar weer dat iedereen fouten kan maken. Ook verkapte "autoriteiten" op het gebied van beveiliging. :)

[Reactie gewijzigd door Koffiebarbaar op 14 december 2017 16:11]

Op dit item kan niet meer gereageerd worden.


Apple iPhone XS Red Dead Redemption 2 LG W7 Google Pixel 3 XL OnePlus 6T FIFA 19 Samsung Galaxy S10 Google Pixel 3

Tweakers vormt samen met Tweakers Elect, Hardware.Info, Autotrack, Nationale Vacaturebank en Intermediair de Persgroep Online Services B.V.
Alle rechten voorbehouden © 1998 - 2018 Hosting door True