Cookies op Tweakers

Tweakers is onderdeel van DPG Media en maakt gebruik van cookies, JavaScript en vergelijkbare technologie om je onder andere een optimale gebruikerservaring te bieden. Ook kan Tweakers hierdoor het gedrag van bezoekers vastleggen en analyseren. Door gebruik te maken van deze website, of door op 'Cookies accepteren' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt? Bekijk dan ons cookiebeleid.

Meer informatie

Twitter stelt bekende hacker 'Mudge' aan als hoofd beveiliging

Twitter heeft beveiligingsexpert Peiter Zatko, die zichzelf Mudge noemt, aangesteld als head of security. Hij werkte eerder bij Google ATP en het Amerikaanse defensie-instituut Darpa, en is auteur van de L0pthCrack-software.

Bij Twitter krijgt Mudge een breed mandaat om veranderingen in de structuur en praktijken van beveiliging aan te brengen. Dat schrijft Reuters in een interview met het nieuwe beveiligingshoofd van het sociale netwerk. Zatko rapporteert direct aan Twitter-ceo Jack Dorsey en zal na een proefperiode van 45 tot 60 dagen de belangrijkste beveiligingstaken binnen Twitter op zich nemen.

Tegen Reuters zegt Mudge dat hij de informatiebeveiliging, website-integriteit, fysieke beveiliging en de integriteit van het platform onder de loep gaat nemen. Ook gaat hij zich bezighouden met onderzoek naar misbruik en manipulatie van het platform en de verdere ontwikkeling van Twitter.

Mudge werkte tussen 2013 en 2015 in een hoge functie bij Googles Advanced Technology and Projects-divisie. Daarvoor was hij drie jaar werkzaam als Cyber Security Director bij het Amerikaanse defensie-instituut Darpa. De in 1970 geboren Amerikaan bouwde in de jaren negentig van de vorige eeuw bekendheid op in de hackerscene.

In 1995 publiceerde Mudge als een van de eersten een paper over buffer overflow-kwetsbaarheden. Hij was een prominent lid van de hackerscollectieven L0pth en Cult of the Dead Cow. In 1997 bracht de beveiligingsexpert L0phtCrack uit, een programma om wachtwoorden te testen, te kraken of te herstellen. Die software bestaat nog altijd, maar wisselde een aantal keer van eigenaar. Sinds april 2020 is L0phtCrack in handen van Terahash.

Twitter kreeg eerder dit jaar te maken met een grootschalig beveiligingsincident. Accounts van verschillende bedrijven en beroemdheden, waaronder Apple, Elon Musk, Bill Gates en Joe Biden werden overgenomen en daarop werden cryptoscamberichten geplaatst. De aanvallers kregen door middel van social engineering toegang tot interne systemen van het sociale netwerk.

Mudge (midden) getuigde in 1998 met andere L0pth-leden voor de Amerikaanse Senaat over ernstige kwetsbaarheden van op internet aangesloten overheidssystemen.

Wat vind je van dit artikel?

Geef je mening in het Geachte Redactie-forum.

Door Julian Huijbregts

Nieuwsredacteur

17-11-2020 • 14:01

35 Linkedin

Submitter: Jerie

Lees meer

Reacties (35)

Wijzig sortering
De aanvallers kregen door middel van social engineering toegang tot interne systemen van het sociale netwerk.
Tsja, hoe ga je dit soort social engineering aanvallen nou eigenlijk tegen vanuit een technisch aspect? Wellicht dat 2FA en biometrische data kunnen helpen, maar je hebt slechts een enkele naïeveling nodig om daar omheen te komen.
Patroonherkenning is een mogelijkheid. Met het correleren van anomalies krijg je inzicht in overwacht gedrag. Dat werkt niet bij een enkel geval, maar kan wel helpen op grotere schaal. IT Security is ook niet alleen maar het voorkomen dat er iets malafide aan de hand is, want dat lukt je nooit 100%, maar zeker ook weten dat er op dit moment iets aan de hand is. In Twitter's geval was een noodknop wellicht nodig geweest wanneer het systeem detecteerde dat er met verschillende high-prio users ineens afwijkend gedrag te zien was (10+ VIP accounts die op korte termijn ineens inloggen vanaf een andere locatie of device bijvoorbeeld).
Op een schaal van miljoenen gebruiker (en zelfs die VIP zullen er toch ook wel veel zijn) is 10 gebruikers op korte termijn die van een andere locatie inloggen toch echt niet zo uitzonderlijk wereldwijd gezien, in de huidige corona tijden zal dit misschien iets minder zijn maar lijkt me nog steeds technisch heel moeilijk om niet continue false negatives te hebben.

Dat gezegd zijnde kan zo'n noodknop altijd wel handig zijn natuurlijk.
Op een schaal van miljoenen gebruiker (en zelfs die VIP zullen er toch ook wel veel zijn) is 10 gebruikers op korte termijn die van een andere locatie inloggen toch echt niet zo uitzonderlijk wereldwijd gezien,
Misschien niet, maar voor iedere individuele gebruiker kan het best wel onverwacht zijn, gebaseerd op het eerdere patroon dat per gebruiker is opgesteld.

Verder heb je ook andere karakteristieken. Denk aan hoe bijvoorbeeld kleine verschillen in timing van de gebruikte client/browser.

[Reactie gewijzigd door The Zep Man op 17 november 2020 14:40]

10 is maar een arbitrair voorbeeld. Het punt is dat normaal gedrag een normaal patroon veroorzaakt. Een hackpoging zal sneller een abnormaal effect veroorzaken, en daar kan je op handelen. Dan gaat het er dus niet om of er nou exact 10, 100 of 1000 VIP's opeens ergens anders inloggen, maar dat het aantal nieuwe inlogacties per minuut met een afwijkende locatie niet correspondeert met het normale verloop op de dag.
Als je die 10 mensen volgens gewicht neemt (waarbij Rutten minder waard is dan Trump of Boris Johnsen en stukken meer dan jij) gingen de alarmbellen wel afgaan. Het ging namelijk om allemaal kanjers als trump of johnsen. En die gewichten kan je denk ik best maken adhv de volgers. Zo kan een voor jou nobele onbekende, toch heel wat gewicht in de schaal leggen wegens zijn/haar populariteit bij 12-jarigen, eventueel wat gemiddelde leeftijd mee in de schaal leggen want sommige leeftijdsgroepen lezen enkel twitter de dag van vandaag.
Je kunt meer zaken meenemen, zo zijn er credit card bedrijven die verplaatsingen correleren aan vliegroutes en andere vormen van transport om daarmee te kunnen vaststellen of het uberhaupt mogeljk is dat een persoon zich op de plek van de verdachte transactie bevind.
https://www.youtube.com/watch?v=HkZNddd9Pxc
L0pth en Cult of the Dead Cow zijn als eerste bekend geworden door te kijken naar zwakke plekken, juist niet door eerst met oplossingen te komen en er dan een probleem bij te bedenken waar dat leuk bij past.
Ik verwacht dus eerder dat 'Mudge' als eerste gaat kijken naar de status van beveiliiging, met welke risico's ze rekening houden en of het personeel en de middelen daar wel geschikt voor zijn. Niet gek als het er op lijkt dat er niet heel goed over de beveiliging nagedacht leek terwijl er zo veel op het spel staat.

[Reactie gewijzigd door kodak op 17 november 2020 16:13]

In twitter dus op tweets zou ik graag een spam of copy/paste filter zien, iig iets dat aan geeft dat tweet niet origineel is en/of gewoon gekopieerd. er word zo ontzettend veel gespammed echt niet leuk meer...
In mijn ogen is er niks tegen te doen. Je moet er vanuit gaan dat de gebruiker de zwakste schakel is (al zijn er natuurlijk zat voorbeelden van lekke softwarepakketten).

Je kan wel de schade beperken, of zelfs voorkomen dat ze überhaupt iets kunnen. Voldoende afbakening van rechten per werknemer, file auditing, actieve monitoring van activiteit, afhankelijk van de werknemer hun functie alleen on-site logins of via een beveiligde VPN etc.

Bij die Twitter-hack bijv., waarom kon die werknemer überhaupt email-adressen van Twitter-accounts aanpassen? Is dat niet iets wat alleen de gebruiker zelf zou moeten kunnen? Goed, misschien niet overal even realistisch, maar ik ben van mening dat een gebruiker z'n account van de gebruiker is en dat werknemers niks met de data van dat account zouden moeten kunnen anders dan verwijderen/bannen.

Waarom gingen er geen alarmbellen rinkelen toen het account van die werknemer zoveel drastische aanpassingen deed in zo'n korte tijd? Is het gebruikelijk dat zo'n werknemer binnen een dag meerdere email-adressen aanpast? Lijkt me niet.
Zet er een limiet op (bijv. 3 per 24 uur). Als die wordt overschreden, account automatisch op slot en een notificatie gestuurd naar de afdeling beveiliging over verdachte activiteit.

Je kan ook de Twitter-accounts zelf monitoren. Hoe vaak komt het voor dat een account voor legitieme redenen van email-adres verandert en vervolgens direct een nieuw wachtwoord aanvraagt?
Wat nou als je die accounts eerst 24 uur bevriest? Dan heeft de echte eigenaar tijd om te merken dat hun account gekaapt is en kunnen ze een support-ticket aanmaken.

Voorkom dat de aanvallers meer kunnen dan zou mogen, dat ze niet dieper kunnen indringen, beperk eventuele schade die ze kunnen veroorzaken en zorg ervoor dat verdachte activiteit op tijd opgemerkt wordt (en liever nog dat deze zelfs automatisch stopgezet wordt).
De kans dat Apple iets zegt over crypto en daarbij ook nog linkt naar een vage link is erg klein. Dus dan kan je een bevestingsmail sturen met een link om dat bericht echt te plaatsen.

Zo zijn er voor de meeste vormen wel middelen te bouwen die dit kunnen voorkomen.
Ook voor social engineering geldt het concept 'attack surface'.

Wie bij welke data kan, wie hoge rechten heeft, voor welke dingen je 4-ogen principe nodig hebt, etc. (Maar ook, dat dat niet per se voor de buitenwereld makkelijk te verkrijgen informatie is).

[Reactie gewijzigd door Keypunchie op 17 november 2020 14:29]

Audit logging zullen ze al hebben; ik denk dat er niet echt een technische oplossing is. "High profile" accounts (zoals Trump) zouden ze vanuit beheerskant als "four eyes" moeten aanmerken, dwz dat er altijd twee mensen moeten zijn die een wijziging kunnen goedkeuren.

Ik bedoel de grote accounts zijn verantwoordelijk voor enorm veel "engagement" en dus inkomsten; Trump alleen al zal ze miljoenen aan ad views e.d. verdiend hebben. Daar kunnen ze een heel team van mensen voor inhuren die het account + alle interacties in de gaten houden.
Heel eenvoudig: zorgen dat mensen niet zelfstandig dat soort wijzigingen kunnen uitvoeren. Vier-ogen principe en toetsing op elkaars werk. Het is wat omslachtig, maar de vraag is hoe vaak er wijzigingen doorgevoerd worden. Bedrijven met een change proces doen niet anders.
Er zijn prima technische oplossingen denkbaar voor het '4 ogen principe', maar die moeten natuurlijk wel ingevoerd worden en draagvlak hebben...

[Reactie gewijzigd door bzzzt op 17 november 2020 17:15]

Hoe goed je het ook beveiligd niks is opgewassen tegen social engineering.... er zijn zelfs gevallen met 2FA die op dat gebied mis gaan.
Er is heel veel opgewassen tegen social engineering. Dat je een username en wachtwoord hebt (ook al is het van de admin) zou niet moeten betekenen dat je alles kan doen.

Wanneer het systeem detecteert dat er een login plaats vindt vanaf een nieuwe locatie/device (bij Tweakers krijg je ook een melding) en het gaat om een admin account, dan zouden er al bellen moeten gaan rinkelen. Niet per sé alles op slot (een admin die vanaf elders snel een hotfix moet doen o.i.d) maar het is wel zeer verdacht. Als vervolgens verdacht gedrag plaatsvindt ("select [CREDIDCARD-ID] from [CUSTOMERS]"), dán zou de verbinding gekilled moeten worden en het account geblokkeerd.

Toegang hebben tot het systeem is niet een kwestie van 'ja maar ik heb de sleutel dus ik kan alles'. Ten minste, dat zou het niet moeten zijn bij bedrijfssystemen :P.
Tweakers reageert niet op een andere locatie ( tenminste, nog niet meegemaakt )
Ik wissel regelmatig tussen mijn vpnlokaties, omdat ik op andere site's wel eens wat minder 'trackable' wil zijn.
Zo komt het voor dat ik afwisselend met FF, Chrome of Edge ingelogd en wel in een paar minuten van Tokio naar Brussel / Amsterdam gegaan ben
De in 1970 geboren Amerikaan bouwde in de jaren negentig van de vorige eeuw bekendheid op in de hackerscene.
Geboren zeker op 01-01-1970 om precies middernacht :)
Bijna correct, 01 december 1970 ...

So close....SO close :+
Iemand anders het gevoel dat die foto is genomen op de set van Revenge of the Nerds?
Ben het eens met het laatste avondmaal wat genoemd wordt...

Wat ik interessanter vind is de ondertitel: "over ernstige kwetsbaarheden van het internet."
Wat voor kwetsbaarheden heeft het internet dan? Volgens mij heeft het internet zelf niet zo veel kwetsbaarheden en liggen die meer bij de apparatuur dat er op aangesloten is.
Die omschrijving is wat kort door de bocht ja. Ik verduidelijk het wat :) Gaat hierover: https://web.archive.org/w...sgac.senate.gov/l0pht.htm
Zonder dit verder uitgezocht te hebben, vergeet niet dat het hier gaat om een foto van een zaak uit 1998 toen https nog lang niet zo breed geadopteerd was als nu.
Het internet zelf heeft genoeg serieuze kwetsbaarheden, en toen was dat niet anders.
Denk alleen al aan de zwakheden in BGP, die meerdere keren per jaar al dan niet bewust worden getripped waarbij het verkeer bedoeld voor een AS, eventjes via een andere AS loopt..
Ben het eens met het laatste avondmaal wat genoemd wordt...

Wat ik interessanter vind is de ondertitel: "over ernstige kwetsbaarheden van het internet."
Wat voor kwetsbaarheden heeft het internet dan? Volgens mij heeft het internet zelf niet zo veel kwetsbaarheden en liggen die meer bij de apparatuur dat er op aangesloten is.
Goed lezen. Foto is uit 1998.

Toen had internet zat bekende kwetsbaarheden. Gebrek aan TLS, exportrestricties cryptografie (40 of 56 bit RSA in de browser haha), DNS plaintext (bijv cache poisoning), BGP (hijacking bijv), enz enz. Alleen die laatste is nog wijd verspreid. Tweakers had onlangs een achtergrondartikel over dit onderwerp. Ook is 1998 nog de tijd voor het ILoveYou virus. Mensen draaiden nog Windows 9x waarbij ze een MSIE4 als root draaiden. ActiveX, Flash. Kun je zo een boek over schrijven.
Ik kan goed lezen... ;)
Maar Tweakers heeft het na mijn commentaar al aangepast zodat het minder algemeen is en duidelijk is waar de foto vandaan komt.

Ik kan ook schrijven dat een auto onveilig is. Wat net zo niets zeggend is als dat er ernstige kwetsbaarheden zijn in het internet. Wat zelfs in 1998 te algemeen was om ook maar een idee te hebben waar het over ging.
De foto doet mij eerder denken aan het laatste avondmaal ;)
Ik moest meer denken aah 'het laatste avondmaal' ;)
eerder 'het laatste avondmaal'

(gut wat ben ik origineel)

[Reactie gewijzigd door Tymusz op 17 november 2020 15:56]

Hij lijkt een beetje op Dr. Okun, maar dan met andere kleur haar...
Zal een leuk salarisje zijn. :P
Bij een grote verantwoordelijkheid hoort een passend salaris.
Hoeft niet; de CEO verdient maar $1,40 per jaar (om belasting te ontwijken; hij is multi-miljardair vanwege aandelen).
Met een groter salaris zou hij alsnog meer verdienen, het is niet zo dat je met willekeurig welk salaris minder overhoudt na belasting dan met een willekeurig lager salaris. (ook in de vs werkt met met schalen zoals wij in Nederland)

Op dit item kan niet meer gereageerd worden.


Nintendo Switch (OLED model) Apple iPhone 13 LG G1 Google Pixel 6 Call of Duty: Vanguard Samsung Galaxy S21 5G Apple iPad Pro (2021) 11" Wi-Fi, 8GB ram Nintendo Switch Lite

Tweakers vormt samen met Hardware Info, AutoTrack, Gaspedaal.nl, Nationale Vacaturebank, Intermediair en Independer DPG Online Services B.V.
Alle rechten voorbehouden © 1998 - 2021 Hosting door True