IBM komt met maatregelen tegen drive-by hackers

Vorig jaar schreven we over het zogenaamde 'drive-by hacking', waarbij er vanaf bijvoorbeeld de straat kan worden ingelogd op draadloze netwerken binnen een nabij gelegen gebouw. Uiteraard is dit een groot probleem, aangezien op die manier eventueel bedrijfsgegevens ontvreemd kunnen worden. Hoewel RSA Security een verbeterde beveiliging heeft ontwikkeld, komt het echter toch nog vaak voor dat de systemen gewoonweg niet goed geconfigureerd worden en daardoor alsnog onveilig zijn. IBM heeft dit ook gemerkt, en komt daarom met een oplossing voor het probleem.

Wireless network Het betreft een softwarepakket, dat de over en weer gaande informatie via een intern 802.11-netwerk in de gaten kan houden. De computers worden op deze manier ingezet als volautomatische controlemachines, die op zoek gaan naar onvolkomenheden in de beveiliging van het netwerk. Vervolgens krijgt de systeembeheerder een rapport te zien, waar precies op vermeld staat welke wireless access points (fysieke aansluitingen aan het netwerk die verspreid door het gebouw staan) verkeerd geconfigureerd zijn. De programmatuur werkt vooralsnog alleen onder Linux, maar een Windows-versie is al in de maak. Later dit jaar zullen de producten op de markt verschijnen.

Lees meer

Reacties (29)

Masselink 18 juni 2002 14:07

Dat is er toch al lang. Sniffer ? Intrusion Detection Software ?

MikeN @Masselink • 18 juni 2002 14:12

Nee, dat zie je verkeert.
Dit is geen IDS, maar meer een analyseprogramma van je beveiliging.

Je laat het programma een tijdje draaien en krijgt dan de beveiligingsgaten in je systeem te zien.

Bij een IDS is het zo dat je het aanzet en op het moment dat iemand inbreekt krijg je hier een melding van. Dit systeem werkt echter niet zo goed bij wireless netwerken die verkeerd zijn geconfigureerd, simpelweg omdat het opvangen van datapakketten niet is op te merken. Er zal tenslotte geen data het netwerk verlaten, verandert worden of het netwerk in gestuurd worden.

Masselink @MikeN • 18 juni 2002 14:16

Je laat het programma een tijdje draaien en krijgt dan de beveiligingsgaten in je systeem te zien.

Dat is een vulnerability scanner. Is er ook al lang.
(ik bedoel trouwens het merk Sniffer van NAI.)

MikeN @Masselink • 18 juni 2002 14:41

Het zal er allemaal wel al lang zijn, maar niet specifiek gericht op draadloze netwerken. Dit programma gaat echt op zoek naar verkeerd geconfigureerde access points e.d.

MetalStef

@Masselink • 18 juni 2002 14:22

Met Sniffer kun je je netwerk monitoren. Het leest alle packets en laat ze zien op het scherm van de netwerkbeheerder (of degene die zich oneigenlijke toegang tot het LAN wil verschaffen).

Probleem voor de hacker is dat een switch een binnenkomend signaal alleen maar naar de uitgaande poort van de geadresserde stuurt, en niet naar andere poorten. Een hub doet dat wel, en zo is op een netwerk met alleen maar hubs alle verkeer van elke computer te volgen. Een zelfde netwerk met switches is veel minder zwaar belast, omdat alleen de geadresseerde computer een bepaalde packet ontvangt.
Een beheerder kan zijn switches wel zo configureren dat verkeer niet alleen naar de geadresseerde gaat, maar ook naar de computer waar Sniffer op staat.

In dit geval, een draadloos LAN, is het de bedoeling dat de access-points in het netwerk god zijn geconfigureerd. In de praktijk is dit niet altijd het geval en de tool van IBM werkt (zoals ik het begrijp) als volgt: Alle computers luisteren alle verkeer af, en die packets die ze niet hadden mogen ontvangen/ontcijferen, worden gerapporteerd aan de tool, die vervolgens analyseert welke access-point niet goed beveiligd is.

Alle computers gedragen zich dus als een drive-by hacker, en melden het als ze wat oppikken.

Vergelijk het met een netwerkbeheerder die met een laptop naar buiten loopt om te kijken wat hij allemaal kan opvangen van zijn eigen draadloze netwerk, alleen werken nu alle computers mee, en rapporteren ze gevonden fouten.

Dat is dus niet helemaal hetzelfde als Sniffer

Z!oN @Masselink • 18 juni 2002 14:37

LIDS (Linux Intrusion Detection System) is er toch alleen om het lokale systeem in de gaten te houden?
Of loop ik achter

freezer 18 juni 2002 14:48

Toch vreemd dat de mensen die de apparaten installeren dit niet weten.
Een beetje systeembeheerder of engineer moet dit natuurlijk weten.
Het is tevens natuurlijk vreemd dat dit soort bedrijven geen interne beveiliging hebben login en password voor servers etc.
We werken hier ook met wireless oplossingen die uiteraard wel geconfigureerd zijn met MAC adressen voor de mensen die erop mogen en er is natuurlijk encryptie toegepast. Is zo'n beetje het eerste wat je doet wanneer je zo'n ding installeerd.

TaXaN @freezer • 18 juni 2002 16:03

Je moest eens weten in hoeveel bedrijven de sysadmins die naam niet waardig zijn. "Security policy? Wat is dat?" Zelfs bij bedrijven die voor hun werking volledig afhankelijk zijn van hun IT infrastructuur. Eigenlijk triestig hoor...

cablepokerface 18 juni 2002 15:13

Dit is eigenlijk gewoon niet meer dan een bevestiging dat de security even goed is als je administrator. Je moet er tegenwoordig gewoon eigenlijk vanuitgaan dat mensen op je netwerk kunnen komen (of tenminste connectie kunnen maken). De vraag is wat je doet tegen zoiets wanneer dat lukt. Als iemand connectie kan maken maar het netwerk is helemaal dichtgespijkerd, dan is er maar weinig aan de hand.

Ik vraag me af of het niet beter is voor een bedrijf om goed te investeren in een zware (wat kennis betreft) Administrator dan in een pakket dat de taak van de Admin 'zou moeten' overnemen.

Klinkt eerlijk gezegd een beetje meer als voorruit schuiven van de problemen als het oplossen ervan.

]Byte[ 18 juni 2002 14:17

IBM kan natuurlijk wel weer met leuke dingen op de markt komen, maar het staat of valt bij de beheerder die verantwoordelijk is voor de implementatie ervan.
Dat geld niet alleen voor 802.11 maar voor iedere vorm van beveiliging!
Ik heb thuis een firewall (WatchGuard Firebox 700) staan, maar als ik die niet of slecht configureer heb ik er nog steeds geen barst aan loop ik nog steeds een potetioneel risico.
Leuke marketing van IBM, maar of het echt "de" oplossing is betwijfel ik.

Standeman @]Byte[ • 18 juni 2002 14:33

De oplossing is het nooit natuurlijk. Echter is dit een zeer goed hulpmiddel voor het (zo) veilig (mogelijk)maken en houden van je netwerk.

Kijk, het is nogal makkelijk om een netwerk van 20 kompjoeters en een paar servers veilig te houden. Echter, wanneer het netwerk groter is (zeg enkele duizenden met enkele tientallen servers) heb je het overzicht niet meer. Dan weet je niet meer precies welke machine waar staat, wat het precies doet, wie er allemaal aan zit en wie er allemaal op inlogt.
Dit tooltje helpt bij het vinden van gaten en dat is erg handig, je kan mij namelijk niet vertellen dat er een perfecte systeembeheerder bestaat.

[NUT] 18 juni 2002 14:10

tjah... zegt genoeg over de verschuiving binnen IBM van AIX/Windows naar Linux m.b.t. de support, ze zijn echt naar volledige Linux ondersteuning aan het streven.

vroeger was het wel anders

Syzzer @[NUT] • 18 juni 2002 14:15

Toen waren ze ook nog vriendjes met Microsoft:p

Verwijderd @Syzzer • 18 juni 2002 15:03

Dat vriendjes zijn veschilt gewoon per week hoor, als ze volgende week een lucratieve deal met Microsoft kunnen sluiten zullen ze dat zeker niet nalaten. Vriendjes zijn en niet vriendjes zijn draaid voor het grootste gedeelte om geld. En geef ze eens ongelijk

B1tchwax 18 juni 2002 14:08

Draadloze netwerken brengen naast een hoop gemak, ook een hoop risico's met zich mee.

Het netwerk moet met software beschermd worden, en zoals bekend is alle software te kraken. Denk dat echt belangrijke informatie nog steeds niet verstuurd kan worden door middel van een draadloos netwerk.

vso @B1tchwax • 18 juni 2002 14:17

een goeie encrypty eroverheen is moeilijk te kraken .. als je het toch gekraakt hebt is het brut force geweest en dan is de data misschien wel achterhaald of neit meer van toepassing ..

denk bv aan een codering van 128 bits met een verandering van om de 4 uur ? dan maak je het al aardig moeilijk .. dit kan je bv toepassen in een draadloos netwerk door een vpn met je clients te bouwen en dan nog eens IPSEC te draaien

btw voor de gene die het intressant mochten vinden IPSEC van windows is wat zwaker als die van (free)BSD maar ze kunnen wel met elkaar praten

Z!oN @vso • 18 juni 2002 17:36

Ik heb cipe gedraaid met een 1024 bit key, ging niet eens echt langzamer, maar daar ben je wel een paar dagen mee bezig... Daar zouden ze nog een DC project van kunnen maken.
Of gewoon met Blowfish, maar dat is al snel een stuk zwaarder, maar wel heel veilig.

Jochem Knoops 18 juni 2002 14:06

leuk dat het al wel op *nix werkt maar nog niet op windows.

vso @Jochem Knoops • 18 juni 2002 14:13

Tis helemaal niet leuk dat het alleen op *nix werkt .. volgens mij hadden ze het beter andersom kunnen doen .. of beter voor alle 2 want, de meeste netwerken staan zo open als het maar kan .. en als zit er een firewall tussen of proxy .. als die eenmaal weg is dan zal het denk zo'n 80% van de gevallen gewoon doorwandelen van de hacker zijn.

maar ja misconfiguratie is meestal het gevolg van gemis van kennis en de aandacht/geld die er voor nodig is..

en tja hier geld beter voorkomen dan genezen want dan ben je 99 van de 100 gevallen gewoon zaad als het je overkomt

JustDutch @vso • 18 juni 2002 14:47

Tis helemaal niet leuk dat het alleen op *nix werkt .. volgens mij hadden ze het beter andersom kunnen doen .. of beter voor alle 2 want, de meeste netwerken staan zo open als het maar kan.

Het lijkt mij vrij logisch dat er eerst met een *nix variant ontwikkeld wordt. Alleen al door *nix te gebruiken geeft een admin aan serieus met beveiliging om te gaan (flame intended). Deze mensen zullen het als eerste toepassen en bruikbare feedback kunnen geven. Windows wordt vooral om het gemak gebruikt. Er zullen heel wat slechtere admins tussen zitten. Hier krijgt IBM geen feedback van dus ontwikkeld het product zich langzamer. Verder staat er in de tekst dat een windows versie in de maak is. Dit kan een reden voor bovenstaande zijn.

maar ja misconfiguratie is meestal het gevolg van gemis van kennis en de aandacht/geld die er voor nodig is..

Zoals boven, ik denk dat het gebrek aan kennis onder windowsadepten groter is dan onder *nix adepten.

Verwijderd 18 juni 2002 14:45

gewoon de straat afzetten, ben je ze ook kwijt

Verwijderd 18 juni 2002 14:47

Ze moeten gewoon de juiste LAN's maken:

1) Draadloos is handig en spotgemakkelijk dan de domste n00bs dat kunnen installeren (ja, ook mensen met de linkerhanden). Geen bekabeling, geen zever met poortjes, gewoon kaartjes in pc's prikken en een accesspoint in de stopcontact steken. Alleen daarvoor is het nuttig

2) Ethernet met UTP en STP zijn goede goedkope lan's met hogere snelheiden. Hogere veiligheid, ze moeten een kabel in je switch steken. Betrouwbaar, vaste snelheid, niet weersafhankelijk (alles met radio-golven is weersafhankelijk, zie fysica).

3) Glasvezels zijn zalige dure netwerken, de lan is zeer snel, superveilig (ze moeten een kabel kapot knippen om af te tappen, dan schakelen de goede switches die kabel uit), vaste snelheid, nooit storing.

Verwijderd 18 juni 2002 14:51

Buiten het gebouw storings elementen zetten die valse signalen doorsturen. Filteren is zo goed als onmogelijk omdat het buiten ruis signaal sterker is als het binnen signaal.

dataworm @Verwijderd • 18 juni 2002 21:50

Zo kan je een draadloos netwerk platleggen inderdaad.

Maar dan ben je nog niet binnen.

Op dit item kan niet meer gereageerd worden.

Lees meer

Reacties (29)

Sorteer op:

Weergave: