Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 93 reacties
Bron: Parool, submitter: Ransweijck

Bij de digitale versie van het Parool lezen we een opmerkelijk artikel over een nieuwe beveiliging. Een intern netwerk dat niet zichtbaar is voor de buitenwereld kan niet aangevallen worden, zo redeneerde Viktor Sheymov. Deze in 1980 naar Amerika overgelopen ex-KGB-majoor bedacht een revolutionair systeem dat hij Invisilan doopte. Met speciale hardware wordt het IP-adres van een computer elke seconde veranderd waardoor een netwerk nagenoeg niet aan te vallen is van buitenaf. Met speciale soft- en hardware moet het interne netwerk vervolgens goed blijven functioneren.

Anarky logo kleinDe 30-jarige Olger Kerseboom, it-beveiligingsadviseur van beroep, runt samen met Berry Masselink en Julian Wynne een klein Amsterdams bedrijf genaamd Anarkey. Toen hij twee jaar geleden over het nieuwe concept las, was hij direct enthousiast en mailde uitgebreid met Sheymov. Eind vorig jaar werd een overeenkomst gesloten en nu heeft Anarky de exclusieve rechten voor de verkoop van Invisilan in de Benelux. Er heerst enige twijfel over de werking van het systeem:

Sheymov kleinSheymov wil geen namen van klanten noemen. Op diverse plaatsen wordt op dit moment proefgedraaid, maar Invisilan heeft nog geen klant die zich publiekelijk achter het product wil scharen. Invislan is evenmin getest door onafhankelijke specialisten. ''Ze zijn welkom, maar niemand durft het aan.''

[...] Misschien is het beroepsdeformatie, deze paranoïde voorzichtigheid, maar bij Nederlandse it-experts, die gistermiddag een presentatie van Sheymov bijwoonden in Amsterdam, zorgde dat gisteren voor scepsis. Het continue wisselen van IP-adressen bemoeilijkt het verkeer met de buitenwacht en - zo vrezen zij - vertraagt het het interne netwerk.

Erg goedkoop is het systeem niet; voor een pc gebruik kan maken van het netwerk moet hij uitgerust worden met een netwerkkaart van tweeduizend euro. Hierbij komt nog een centrale computer met speciale soft- en hardware van grofweg twintigduizend euro. Sheymov stelt echter dat het voor grote bedrijven wel degelijk lucratief is om delen van het netwerk met gevoelige informatie af te schermen met Invisilan. Er wordt in een anekdote verteld dat een advocatenkantoor niet wilde investeren in het systeem. Ironisch genoeg werd het kantoor twee weken later gehacked en werd er procesmateriaal gestolen. Toen dit leidde tot het verliezen van een belangrijke rechtszaak werd besloten tot de installatie van Invisilan.

Zoals bij bijna elke vorm van beveiliging blijft de mens de zwakste schakel. Op de vraag wat een terrorist met de juiste hard- en software tóch kan aanrichten wordt een ontwijkend antwoord gegeven. Sheymov zegt zich niet verantwoordelijk te voelen voor het menselijk falen zolang zijn systeem naar behoren werkt. Ondanks twijfel bij it-specialisten gelooft men bij Anarkey in Invisilan. De ambitieuze eigenaars zijn op zoek naar buitenlandse agenten om het produkt te verkopen: "Zelf zijn we klein, en we willen ook een overkoepelende organisatie blijven. De marketing, de installatie en ondersteuning moeten onze agenten doen."

Moderatie-faq Wijzig weergave

Reacties (93)

Iets dat ik niet snap; als het op TCP/IP gebaseerd is (wat logisch klinkt, aangezien ze met IP adressen werken), kun je toch nog op de 'conventionele' manier gaan sniffen, heb je alsnog al het verkeer wat voorbij komt. Het zal dat zaak bemoeilijken, maar het LAN is dan echt niet onzichtbaar in mijn ogen.
Daarnaast, als het er om gaat alle werkplekken van een intern netwerk te beveiligen, blijf je altijd nog met het probleem zitten dat een hacker door achter zo'n machine te gaan zitten wel gewoon in het netwerk kan. Als je de machines fysiek gaat beveiligen heb je het hele systeem niet meer nodig (niemand die bij het LAN kan komen en gevaar van buitenaf bestrijd je met dit systeem niet).

[edit] Als dit serieus is, waarom publiceert men dan geen uitgebreide technische informatie? (Of kijk ik er overheen?) Want het kleine beetje FAQ wat er staat kan net zo goed uit de Tell Sell reclame komen, hoop leuke praatjes, maar niets concreets. Neem nou dit:
[quote]
Wat zijn zoal zaken die InvisiLAN kan vervangen ?
Indien het GEHELE netwerk wordt uitgerust met InviLAN, bent u staat in 1 keer zaken als Firewalls, IDS, Encryptie, routers en VPN-oplossingen te vervangen. Daarnaast zijn er enkele zeer prettige "bijeffecten" van het systeem, zoals het "inkapselen" van trojans.
[/quote]
en
[quote]
Wat is de relatie van InvisiLAN tot DHCP ?
Invisilan maakt geen gebruik van handshakes en acknowledgements omdat deze informatie over het netwerk uit te lezen is en dus te hacken zijn. Verder maakt Invisilan gebruik van "ip hops" (het geeft zichzelf voortdurend nieuwe ip's , subnets en mac adressen. Iedere pc in het Lan doet dit autonoom zonder contact met een "hoofd server")
[/quote]
Dit slaat toch allemaal nergens op??
Redenering: als je een netwerk wil hacken dat bijvoorbeeld achter een centrale server staat, dan hack je eerst deze centrale server . Via deze server kan je dan ook normaal de rest van de pc's bereiken, omdat deze server ook over de speciale software beschikt. Resultaat: 0
En de overhead zal ook niet mis zijn. Probeer maar eens te berekenen waar je pakket heenmoet als het langer dan 1 sec onderweg is. Zender steekt ip adres 192.168.0.1 in de header, router moet weten dat het naar 192.168.0.2 gaat, bij de volgende router kan het alweer anders zijn.
Blijkbaar is het hele punt van het systeem, dat iedere PC wel een publiek IP adres blijft houden en er niet van NAT oid gebruik wordt gemaakt:
Als een computer zijn zogeheten IP-adres elke seconde door een ander nummer vervangt, kunnen hackers die via internet proberen toegang te krijgen, hem niet meer vinden.
Maar dat zou ook weer nergens op slaan, want op die manier kan bijvoorbeeld een webserver ook nooit een request vervullen, want dan heeft de aanvrager al weer een ander IP adres :z
Hoax lijkt me.
Ik zeg niet dat het systeem goed is maar:

het gaat om het netwerk voor BUITENAF af te schermen. Die webserver zou dan bedoeld zijn voor het 'intranet' en hoeft ook helemaal geen requests af te handelen voor pc's buiten het netwerk. Binnen dit netwerk zou hij dit blijkbaar nog wel kunnen vanwege de speciale hard-en software die ervoor zorgt dat de computer telkens het adres blijven weten van de webserver en vice versa.
Die webserver zou dan bedoeld zijn voor het 'intranet' en hoeft ook helemaal geen requests af te handelen voor pc's buiten het netwerk.
Zoals jij het dan stelt is je hele verbinding naar buiten toe via internet doelloos geworden, aangezien elke host op internet je niet meer kan bereiken, ook niet voor aanvragen die vanaf het beveiligde netwerk geinitieerd zijn. Waarom zou je dan sowieso die verbinding handhaven? Trek dan gewoon die stekker eruit, hoef je het ook niet te beveiligen :P
Je intranet of je webserver beschermen zou 2 verschillende dingen moeten zijn. Je intranet moet je kosten wat het kost goed beschermen, want er gaat vaak nogal wat gevoelige info heen en weer.
Maar je webserver moet enkelt bestand zijn tegen ddos attacks en dat de files op die server niet veranderd kunnen worden. Er zou niet een fysieke link tussen je intranet en zo'n webserver voor de buitenwereld moeten bestaan, anders maak je het inbreken een beetje makkelijk.

Zover ik het begrijp werkt dit systeem op de externe aansluiting van je intranet. Ik zie dit dan als de router waar je intranet op het internet mee kan komen.
De server aanvallen lijkt niet eens nodig. In dit ( http://nederlands.anarkey.org/pers/Statement-Victor-Sheymov.pdf ) artikel staat dat een geauthoriseerde partij op elk gewenst tijdstip weet waar de computer is in cyberspace.
Dit lijkt meteen ook de backdoor te zijn voor inloggen van buitenaf op dit systeem.

Verder staat in een artikel van washingtontechnology.com een stuk dat dit vermoeden lijkt te bevestigen: "an algorithm used at each of the communicating endpoints that changes addressing information at the rate of one time per second. "
Elk uiteinde lijkt dus aan de hand van een algoritme te kunnen bepalen naar welk adres een pakket gestuurd moet worden om de meeste kans te maken op een "goede" verbinding.

De vraag is nu wat sneller zal zijn: de algoritme bij de geauthoriseerde partij vandaan proberen te halen (die waarschijnlijk minder goed beveiligd is)
Of intappen op de vaste verbindingslijnen tussen de server en het netwerk om het algoritme te achterhalen.
Dat systeem om netwerken onzichtbaar te maken voor de buitenwereld bestaat dat niet allang :?

Volgens mij heet dat NAT (network adres translation).

Mijn interne netwerkje (192.168.0.x) is vanaf het internet best moeilijk te hacken. Een NAT router is niet snel geneigd om inkomend verkeer door te laten als dit niet expliciet is geconfigureerd. :)

Ik kan een NAT router wel leveren voor minder als ¤ 2000 Ook netwerkkaarten kan ik wel goedkoper leveren als ¤ 2000.

Ik moet denk ik toch maar een eigen zaak beginnen 8-)
Met NAT is het 'lastig' om een machine achter de NAT router te bereiken, tenzij je de NAT router weet te hacken en een route naar binnen open zet. Overigens heeft jouw NAT router aan de buitenkant (de internet kant) altijd, of in ieder geval gedurende dat je bent ingelogd bij je provider, hetzelfde IP adres.

Het interessante van invisilan is dat de router per seconde een ander IP adres heeft. Probeer maar een router te hacken, die per seconde een ander adres heeft.... erg lastig natuurlijk ;)
het WAN adres is stabiel. Het internet kan een beetje slecht tegen een steeds wisselend IP-adres
Wel als je NAT router gehacked wordt en dat je enige link is tussen je intranet en het internet :)
Dan kun je dat dus ook met 1 client met een wisseld ip adres doen, namelijk een 2e server. Die NAT dan weer naar een intern netwerkje. scheelt hoop knaken zo te horen.
Het meer een combinatie van NAT en IPSEC. Deze zijn echter vrij verkrijgbaar en een stuk goedkoper...
maar bij dit systeem zou het bijna onmogelijk worden omdat alle ip's telkens veranderen. En dat is imo een wezenlijk verschil
Misschien een domme opmerking, maar waarom ontwerpt men dan niet een nieuwe variant op TCP/IP. Als men een nieuw protocol ontwikkeld met een geheel andere adressering, dus bijvoorbeeld met letters, of combinaties, dan zijn ze net zo min van buiten het netwerk toegankelijk.

Een soort encryptie op het protocol dus.
Misschien een domme opmerking, maar waarom ontwerpt men dan niet een nieuwe variant op TCP/IP.
Dat is vast al vele malen gedaan. TCP/IP is het huidige protocol, maar er zijn vast en zeker al betere protocollen ontworpen als opvolger voor TCP/IP. Het enige probleem is compatibiliteit. Je kan niet zomaar een nieuw protocol in werking stellen als het niet compatible is met het oude.
Als men een nieuw protocol ontwikkeld met een geheel andere adressering, dus bijvoorbeeld met letters, of combinaties, dan zijn ze net zo min van buiten het netwerk toegankelijk.

Een soort encryptie op het protocol dus.
Dan moet het nieuwe protocol ook compatible zijn met de huidige hardware. Het upgraden van alle hardware omdat er een nieuw protocol aankomt is niet te doen. En de huidige hardware is misschien niet sterk genoeg voor een goed en secuur protocol.

Het ontwerpen van een nieuw protocol is op zich al een grote taak. Maar daar komt nog eens bovenop dat het protocol bij de huidige hardware moet passen, anders kan je er al van uit gaan dat het niks gaat worden. Een gemakkelijke overschakeling van TCP/IP naar het nieuwe protocol is ook wel een vereiste, maar ook weer een lastige taak.

Het uitmelken van de TCP/IP lijkt nu de beste oplossing. Tegen de tijd dat TCP/IP gewoon te oud is voor de hardware kan er gezocht worden naar een vervangende protocol. Maar daar zijn we nog lang niet ;)
Leuk, maar dit hele systeem is er blijkbaar op gebaseerd dat je alle apparatuur vervangt :o
Dus waarom zou je in dat geval nog voor TCP/IP gaan. Maar goed, er klopt bijna niets van het hele verhaal, werkelijk verbazingwekkend dat een serieuze krant als het Parool het zomaar slikt.
maakt toch niet uit wat voor adressering je gebruikt? een adressering blijft een adressering

het verschil is dus dat het per seconde veranderd...
Wel erg duur grapje :p , lijkt me niet zo'n leuke investering voor'n bedrijf die ff een paar 100 pc's wil gaan uitrusten met dit moois, ze beginnen best eerst te testen in kmo's volgens mij.
Waarschijnlijk zal dit dan voor kleine delen van het netwerk gelden waar belangrijke informatie 'zit'. (Om het zo maar uit te drukken)

Althans, dat lijkt me, want de eerste de beste tiepmiep (exucsé moi :) ) zal geen potentieel slachtoffer zijn van een hacker. Ik neem aan dat een hacker juist gevoelige informatie zoekt.

(Misschien gebruik ik 'hacker' hier niet goed, maar mensen snappen wat ik bedoel)
want de eerste de beste tiepmiep (exucsé moi ) zal geen potentieel slachtoffer zijn van een hacker
Je hebt geen idee wat voor stukken sommige tiepmiepen moeten typen (en zijn... :) ) !
Da's vreemd. Volgens de prospectus zijn er geen drivers of update nodig. Maar als ze een netwerkkaart van 2000 euro leveren zal je daar toch ook een driver voor moeten hebben.
Tsja, en minimaal een leuke sticker...
Nee joh...

Het is gewoon een realtekje met een eigen firmware erop.
Voordat ze die bedacht hadden waren ze al zoveel tijd kwijt dat deze kaarten daar zo duur van zijn geworden... }>
Dan sloop je toch heel het principe van TCP/IP connections, met name de ip-port-ip-port connectie tussen 2 hosts... :? Tenzij ze het transparant doen tov het systeem, maar dan lijkt het me echt vreselijk onefficient te worden met al de overhead erbij.

Lijkt me eerder weer een volgende wondermiddel wat ze proberen te verkopen als DE oplossing voor security problemen, terwijl ze het echte probleem weer uit te weg gaan: compentente systeembeheerders die hun systemen door en door kennen en kunnen beveiligen !
Volgens mij is de eerste stap tegen dit systeem om door te krijgen hoe de ip's veranderen. Ik ga er van uit dat dit binnen een bepaald bereik random zal zijn, als dit niet zo is dan kan met behulp van de goede software aan de hacker kant nogsteeds op de zeflde manier gehacked worden.

Ik zie zelf als iemand met relatief weinig netwerk ervaring, maar toch genoeg om zelf kleine netwerken aan te leggen wel problemen. Als er om de seconde van ip veranderd wordt dan zal dit volgens mij leiden tot packetloss, niet alleen lokaal, maar over het hele internet. Packetjes die te laat komen zijn dat dus in dit geval. Een server draaien achter zo'n systeem is ook vrij lastig. (Het kan wel lijkt me)

Reactie op het verhaal over hele ip-ranges aanvallen, dat kan, is minder effectief meestal, maar daar gaat het de meeste hackers niet om. Zoals het zovaak is, dingen stuk maken is niet zo moeilijk.
Zo lang een lan met het internet verbonden is zal het nooit volledig onzichtbaar kunnen zijn. Verbinding betekent netwerkverkeer en dat zal altijd op de een of andere manier "gezien" kunnen worden.
Verder vind ik het nogal vreemd dat onafhankelijke experts "het niet aandurven" om het systeem te testen, als het zo revolutionair is. Een leuke anekdote verzinnen kan iedereen, als je toch geen namen noemt. En op de terechte vraag wat iemand met de juiste technieken wel kan aanrichten wordt geen antwoord gegeven. Ik zou hier mn geld niet op zetten.
Dat is wel leuk dat steeds het IP veranderd,
maar dan attack je toch gewoon een IP range,
het is wel minder effectief maar het heeft wel effect...

Denk dat dit makkelijk te omzeilen is..
Nou kan je wel een ip range gaan attacken maar als jij een reeks van zeg 1000 ip's moet attacken moet je voor bijvoorbeeld een dos attack toch ook veel meer kracht hebben om alle ip's te kunnen beheersen, tenzijn natuurlijk een bepaald algoritme het volgende ip regeld.
Zelfde geldt als je wil attacken, je kan dan misschien geluk hebben dat je het goede ip te pakken hebt maar voordat je ook maar 1 fatsoenlijk command kan sturen zit hij alweer op een andere, het vermoeilijkt de procedure dus wel enorm.
Wat is dat toch met het IP. Een laag dieper (lees een header voor) bevindt zich het MAC address, dan attack je die toch gewoon. Ik snap sowieso niet waarom IP-Addressen continu moeten veranderen. Als je dat nl doet dan ben je dus bijna helemaal niet, meer compatible met 99% van de software. Dus het lijkt me dat aan de buitenkant het IP adres weer vast moet zijn. Verder kun je dan net zo goed je eigen protocol gebruiken met encryptie en daar bovenop weer IP plaatsen, en met speciale hardware kun je zelfs helemaal van ethernet afstappen en een speciale frequentie gebruiken waardoor standaard hardware niet meer aangesloten kan worden op het net. Zwakke punt blijft altijd dat er aan de bovenkant een standaard protocol zal draaien wat niet al teveel kan afwijken van de standaard en daardoor toch weer kwetsbaar is. Kom je op 1 pc met deze hardware erin dan kun je de rest ook bereiken. Dit houdt dus in dat de PC ook alleen maar op deze manier mag communiceren met de rest van het net, want een draadloos keyboard/ bluetooth adapter oid ergens aan en je hebt weer een lek (of in het ergste geval een Wireless adapter in de USB poort door een hacker achtergelaten en door windows automatisch geinstalleerd).
Over dat MAC adres:

1) Hoe wil je aan het MAC adres komen als je het ip-adres niet weet? Kan je ook geen pakketjes uitlezen namelijk omdat je niet weet WAAR die pakketjes zijn (anders zou het geen anti-diefstal systeem zijn!). Das nou juist waar het hier om gaat in dit systeem.
2) In het ergste geval spoof je je MAC adres. Dat kan nu ook gemakkelijk, en daar zal wel aan gedacht zijn in dit systeem.
'Ik snap sowieso niet waarom IP-Addressen continu moeten veranderen. Als je dat nl doet dan ben je dus bijna helemaal niet, meer compatible met 99% van de software. Dus het lijkt me dat aan de buitenkant het IP adres weer vast moet zijn'
De software HOEFT niet compatible te zijn. Alles zit namelijk in dat pakket. Mag ook wel voor de prijs. Maar je hebt niks te maken met webservers die geen requests afhandelen oid, want dat is allemaal buitenaf en heeft niks met dit internet netwerk te maken. Bovendien als je het ip-adres weer vast maakt volgens jou idee, ben je dus weer bij af (ofwel de huidige situatie / beveiligingstechnieken)
Dan nog. MAc adres spoofen is leuk enzo, maar je zit met een ander groot probleem. De enige die het macadres weet is de router op de andere kant. Vanaf die eerste router is er niks meer bekend over het mac adres. Daar zijn dus IP adresssen dus voor, makkelijke routering over het netwerk (internet bv)

Ook nog iets. De TCP/IP stack heeft van die verschillende laagjes. laagje 1 is de hardware het koperdraadje, daar kom je overheen geen probleem. Laagje 2 is het max adres, als je het voor elkaar krijgt om die te pakken te krijgen, dan moet je ook nog eens over laagje 3 het IP adres. Als die anders is dan aangegeven word het pakket alsnog gewijzigt en zo te lezen zit de software in die laag. Nou voordat het dan uberhaupt een stuk software tegenkomt moet het nog door de tcp laag om te kijken voor welke poort het is, mogelijk dat ze daar ook nog iets uitgehaald hebben.

Al met al, klinkt leuk dat mac spoofen, maar dan ben je er nog niet. Je zit alleen in het systeem tot een bepaalde laag. Alleen als je in DIE laag een bug vind dat je de IP laag kan omzeilen tot een broadcast die toch op de een of andere manier weer uitkomt op een computer die je wilt hebben.

Nee op zich leuk bedacht systeem, ik weet alleen niet hoe bruikbaar het is en voor 20000 euro voor slechts een speciale server. klinkt mij iets te crea in de oren.
De TCP/IP stack heeft van die verschillende laagjes. laagje 1 is de hardware het koperdraadje, daar kom je overheen geen probleem. Laagje 2 is het max adres, als je het voor elkaar krijgt om die te pakken te krijgen, dan moet je ook nog eens over laagje 3 het IP adres
Je gaat mij corrigeren en dan vervolgens onzin uitkramen. De hardware layer en transport layer zijn GEEN onderdeel van TCP/IP stack die komt daarboven pas (eigenlijk eerst IP en daarna TCP welke layer het precies zijn mag je in een schoolboek opzoeken maar daar heb je in de praktijk verder ook niet veel meer mee te maken). Ik programeer al jaren netwerk software, vroeger werd er op LAN's voornamelijk IPX gebruikt in combinatie met een Novell server en was er van IP op het hele LAn nog geen sprake. Dus stel dat je IPX weer zou gaan gebruiken ben je dan net zoveilig bezig? Dan heb je namelijk helemaal geen IP-Addressen meer. En dit is niet metteen een nieuw ID voor een beveiliging maar op mij komt het snel veranderen van IP addressen nogal over als commerciele prietpraat wat nergens op slaat. Er zijn dan nl helemaal geen voordelen meer om nog IP te gebruiken voor het transport.
waarom? Als je handig bent pak je met de DoS-attack gewoon het ip van de router. Dan kan het hele netwerk geen hout meer.

Daarvoor is dit systeem niet ontworpen. Met een DoS leg je een netwerk plat, je steelt niets. En daarvoor is dit systeem er nu. Voorkomen van diefstal :)
Je kan niet een ip-range hacken om in een computer te komen toch?

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True