'Criminelen installeerden Raspberry Pi's in banken voor netwerkaanval'

De zwakke schakel lijkt hier niet eens zozeer de infrastructuur, hoewel dat strakker kan, maar eerder de authenticatie van medewerkers.

^Dit, zoveel dit!^

~15 jaar geleden bij een dochter van een grote bank gewerkt en het hoofdkantoor in Amsterdam kwam je toen al niet gemakkelijk binnen als je geen uitgenodigde gast was en je uitnodiger je persoonlijk kwam ophalen. Echter is het niet zo heel moeilijk om een pasje te rollen van een medewerker die naar huis gaat.

Bij de dochters, welke significant kleiner waren, was de fysieke security minder, nog steeds pasjes om het pand binnen te komen, maar je kon een stuk gemakkelijker met andere medewerkers mee naar binnenlopen.

Maar dat maakt allemaal niet zoveel uit als je schoonmaakploegen niet bepaald worden doorgelicht of worden gecontroleerd bij dagelijks werk en toegang hadden tot bijna het hele pand.

En Mac adressen en security certificaten klinkt allemaal leuk, maar zodra je fysieke toegang heb tot het kantoorpand dan is ook dat vrij makkelijk op te lossen. Je zet een key logger tussen het USB/PS2 keyboard en een monitoring compute devices tussen de PC en de netwerkpoort in de muur, welke tijdens gebruik monitort en zodra de PC uit gaat als gespoofde PC functioneert. Dat is natuurlijk op te lossen door secured workstations met secured wallpatches te gebruiken en dan niet van die prutdingen met generieke cheapass slotjes die je met twee paperclips open krijgt. Echter kreeg de security officer van toen daar al een rolberoerte van toen ik dergelijke beveiligingsmaatregelen begon op te noemen en helemaal toen hij zich realiseerde hoeveel dat ging kosten...

Ik denk dat je bij de gemiddelde bank niet direct zoveel heb aan directe toegang tot bank servers, je zt vaak of met custom software of met iets als een AS400 en good luck met de hacker die daar genoeg kaas van heeft gegeten... Nee, dergelijke bank applicaties worden gebruikt door mensen met geen computerkennis, die nog steeds dingen moeten goedkeuren, leningen/hypotheken/investeringen, etc. Vaak gaat dat over meerdere mensen heen, maar als je de PCs van dergelijke mensen weet te herkennen, dan kan je leningen aanmaken en goedkeuren. Als je ook nog eens de persoon of afdeling weet te achterhalen wie die rechten uitdeelt en daar het userid/password van kan achterhalen, dan ben je al helemaal binnen.

2FA helpt daar zeer zeker bij om dergelijk tegen te gaan, 10-17 jaar geleden liep ik met een hele bos van die security tokens rond om verschillende lagen door te komen om userids aan te kunnen maken op bank systemen. Het hoofdkantoor had het wat dat betreft behoorlijk voor elkaar, de dochtermaatschappijen echter een stuk minder, geen 2FA voor veel eigen applicaties en al helemaal niet bij custom applicaties...

Ik kan me zo voorstellen dat kleinere banken hier veel meer last van hebben dan grotere banken.

Daar komt ook nog eens bij dat de IT op het hoofdkantoor zo een georganiseerde bende was dat er niets gedocumenteerd was en als je dan twee maanden bezig was geweest om procedures uit te stippelen, documenteren, af te spreken en succesvol te testen dan was er een maand later weer van alles gewijzigd zonder dit door te geven of dat een leidinggevende wist hoe het nu liep. Je procedures konden dan weer de prullenbak in en kon je overnieuw beginnen. Voordeel hiervan is dat een externe zonder werkende systeem credentials, 2FA en bekend als medewerker hier nooit wegwijs in zou kunnen geraken.

Voordeel van die 'vervelende' losse security tokens (RSA) is dat het niet op een smartphone staat die relatief eenvoudig te hacken is.

@Florisl Toch altijd weer leuk dat mensen bij andere organisaties zich herkennen in de wanorde... Maar zorgwekkender dat er meer banken in Amsterdam zijn die dergelijke issues hebben.

[Reactie gewijzigd door Cergorach op 25 juli 2024 02:14]

Ik kom bij industriële netwerken steeds vaker MAC based adressering tegen. Dus als daar een onbekende apparaat aangesloten wordt, gaat de poort uit. (voor bepaalde tijd)
Dit is naar mijn mening wel veilig, maar wel gruwelijk irritant als je aan het installeren of vervangen bent. Je kunt dan dus niet zonder de hulp van een netwerkbeheerder werken.

Met bring your own device policy, wodt dit juist minder lijkt me.

Banken is een van die organtisaties waar ik byod niet snel zie gebeuren op de afdelingen die het betalingsverkeer regelen. Marketing misschien wel, maar voor de rest absoluut niet.

Wellicht moeten besturingssystemen toch wat minder makkelijk nieuwe hardware accepteren, hoewel ik niet zou weten hoe je je OS er van kunt overtuigen dat je een nieuwe muis en toetsenbord hebt, als je dat niet met diezelfde invoerapparatuur mag bevestigen.

Ook toetsenborden en muizen (of eigenlijk alle usb-apparatne) van certificaten voorzien.

Heb je ook een secure chipje nodig, maar zou in theorie moeten kunnen. Maakt het in ieder geval voor jan-met-de-pet lastig om een usb-stick van malware te voorzien.

Het nadeel is dat voor APT's, die je eerder associeert met gemanipuleerde toetsenborden, het waarschijnlijk wel een te nemen barriere zal zijn.

[Reactie gewijzigd door Keypunchie op 25 juli 2024 02:14]

Niet te moeilijk denken: dan installeren ze gewoon een hardwarematige logger, die zich exact voordoet als het bestaande toetsenbord.

Encryptie is soms te "downgraden" via een man-in-the-middle. Anderzijds kan je helemaal als proxy gaan acteren en alles decrypten en weer opnieuw encrypten. Maar het zou inderdaad wel een extra barrière opwerpen voor de criminelen.

Dat werkt echter alleen voor de machines die jij beheerd. Er zullen genoeg apparaten zijn die aangesloten worden met interessante gegevens (wachtwoorden) die niet meedraaien in de zwaar beveiligde communicatie.

USB keys zijn eenvoudig te blokkeren maar keyboard en muis is heel lastig. Je zou dan standaard hardware moeten hebben met een unieke hardware code en enkel deze moeten toestaan. Maar dan werkt dit weer alleen op de hardware die jij beheerd (met alle beheerkosten vandien).

In West Europese banken kan dit ook(waarschijnlijk niet allemaal) als je goed genoeg bent. Deloitte wordt nog wel eens ingehuurd om zo'n bank te auditen(hacken) en die moeten dan een transactie maken van ongeveer 10 miljoen euro. Deze ethische hackers zijn de beste ter wereld en ik vraag me af of het ze ooit niet gelukt is om ergens binnen te komen.

Je was mij net voor. Zodra je als facilitair binnenkomt kijkt niemand naar je om.

Precies. MAC spoofen is een kwestie van wat social engineering. Je moet op een of andere manier het gebouw binnen komen en aldaar je voordoen ala iemand van IT of bijv. MSFT. Lulverhaaltje bij een medewerker over uitrollen van updates ofzo zodat je even een ipconfig kan bekijken. Daarna kan je ergens een gespoofed apparaat plaatsen waar je maar wil.

MAC spoofing is niet moeilijk. Dat is het punt ook niet. De eerste laag van beveiliging is bedoeld om de workload van het security-team te verminderen. Bij een MAC issue kun je de "gewone" IT-ers er op af sturen. Als die twee medewerkers vinden die van bureau geruild zijn, geen probleem. Komen ze echter een Raspberry Pi tegen, dan wordt het tijd voor escalatie.

Wat er dan over blijft is dat Kaspersky heeft bevestigd dat ongewenst fysieke toegang tot een netwerk een risico is...

veel van de 'acties en evenementen' uit Mr.Robot zijn gebaseerd op waargebeurde hacks of gebeurtenissen

Wat! Geen Matrix achtige tekens over het scherm heen als er 'gehackt' wordt? I'm truly disappointed! ;-)