Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 25 reacties
Bron: Netkwesties, submitter: capedro

Op de Nederlandse presentatie van het beveiligingsproduct Invisilan was veel kritiek te horen, zo lezen we bij Netkwesties. Invisilan is een ontwikkeling van oud-CIA-directeur Woolsey en oud-KGB-cryptograaf Sheymov. Het Amsterdamse bedrijf Anarkey brengt het op de Europese markt. Invisilan baseert zijn beveiliging op het constant wisselen van IP- en MAC-adressen, waardoor crackers van buiten het netwerk deze nummers niet kunnen aanvallen. De presentatie van het zogenaamde onzichtbare netwerk trok beveilingschefs van onder ander ABN Amro en KPN aan, die vervolgens hun ongezouten kritiek spuiden.

Sheymov klein Woolsey begon de presentatie met een betoog over de kwetsbaarheid van de huidige netwerken. Hij benadrukte hierbij de onderlinge afhankelijkheid van de diverse systemen. Hij voorspelde aanvallen op met name financiŽle en nutsbedrijven. Sheymov vervolgde het verhaal. Hij legde de nadruk op de gedachtegang van bedrijven dat een firewall genoeg zou zijn tegen een inbraak van buitenaf. De dreiging komt echter van binnenuit, zo zegt Sheymov. Met het Invisilan-systeem hebben 'gewone' gebruikers geen toegang tot de IP-adressen; deze blijven in handen van een aantal bekende en vertrouwde personen en instanties.

Vooral de afgevaardigde van de KPN had veel kritiek op het systeem. Het meest logische bezwaar was de prijs van het geheel: Anarkey schotelde ons ongeveer tweeduizend euro per computer voor, maar een echte prijslijst was nog niet beschikbaar. Sheymov voegde hier aan toe: "Maar dan ben je ook klaar met je beveiliging." Dit is echter niet helemaal waar; er blijft een zwakke schakel in de vorm van de vertrouwenspersonen die wel toegang hebben tot de IP-adressen:

Sleutels - veiligheid Uit de bijeenkomst in Amsterdam bleek onomwonden dat je wellicht een perfecte netwerkbeveiliging kunt scheppen, daar zullen technici het nog wel over eens kunnen worden met Sheymov. InvisiLan komt daar dicht bij. Maar dat dit niet afdoende om systemen dicht te timmeren. Meer en meer blijkt dat mensen aan de systemen het zwakke punt vormen. Bovendien stoelt ook beveiliging gewoon op een kosten/baten analyse.

Arabische terroristen namen twee jaar de tijd om te leren vliegen en zich voor te bereiden op de aanslagen van 11 september 2001. Hoe hoog kan een nieuwe medewerker klimmen in de beveiligingsorganisatie van een concern in twee jaar tijd, of hoeveel kan hij van de beveiliging te weten komen vanaf een andere plaats aan een terminal in een Lan van bijvoorbeeld een groot energiebedrijf?
Moderatie-faq Wijzig weergave

Reacties (25)

Ik snap werkelijk niet in hoe mensen van grote ondernemingen als ABN en KPN zo serieus kunnen ingaan op deze oplichterij. De informatie die ze aanbieden is voor 80% gewoon pure onzin, zoals al in dat eerdere nieuwsbericht duidelijk werd.
En dan blijven ze ook zo sterk hameren op 'maar dan ben je ook klaar met je beveiliging', wat is dat nou voor gelul, volgens hun kun je dingen als VPN gewoon schrappen als je invisilan gebruikt, maar ze vergeten dan even te vertellen hoe het bijvoorbeeld die functie vervult. En bijvoorbeeld gebruikersbeheer, noem maar op, je hebt bij hun als geldige gebruiker verbinding met de PC, en verdere beveiliging is dan niet meer nodig? Dus alle medewerkers hebben volledige toegang. Terwijl het juist een bekend verhaal is dat eigen medewerkers een van de grootste gevaren zijn waartegen je je netwerk moet beschermen, zeker als het om het uitlekken van informatie ed. gaat.
Is dit veel kritiek? Bij "veel kritiek van experts" denk ik aan technische mankementen aan het systeem, maar het enige dat ik kon lezen was dat ze het te duur vonden. Dat het netwerk zwak blijft omdat bepaalde mensen er toegang toe moeten hebben vind ik nogal zwakke kritiek, dit hou je toch altijd: zolang mensen toegang tot een netwerk moeten kunnen hebben is het ook mogelijk dat op diezelfde manier mensen met slechte bedoelingen toegang tot dit netwerk kunnen krijgen (inderdaad, mens als zwakste schakel). Wat hadden ze dan verwacht, dat InvisiLAN hun werknemers zou screenen op terroristische neigingen? Zoals ik al zei, eigenlijk is dit geen kritiek, ze waren het zelfs met de makers van dit product eens dat het zeer dicht bij de perfecte beveiliging kon komen.
Het hele idee van onkraakbare firewall is onzin. Met een eenvoudige linux firewall kan makkelijk het zelfde beveiligingsniveau gehaald worden. Als je een linux machine configureerd als alleen NAT router, en voor de rest alle services uitzet zoals http, smtp pop3, telnet, ssh enz... kom je er echt op geen andere manier in als via de console.

blijft het zwakke punt dus toch de gebruiker. stuur hem een e-mailtje met een zelfgemaakt virusje. en dat start een remote servertje op ala PC anywhere dat zelf een verbinding naar buiten opzet (poort 80 voor webbrowsing staat toch meestal wel open, of lees de proxy settings uit van de internet browser), en de hacker is binnen, kan alles doen wat de getroffen gebruiker ook kan (en meer omdat een gemiddelde hacker meestal wat meer trukjes kent als de gemiddelde gebruiker) Deze prachtige methode en werkt ook op het zogenaamd onfeilbare ip wissel systeem.

Verder is het wisselen van mac adressen ook niet echt handig volgens mij. Gevolg is dat elke switch gedegradeerd wordt to hub en vervolgens alle data naar alle netwerk kaarten wordt gestuurd, de meest simpele sniffer is dan al voldoende om al het verkeer af te luisteren.
Weet niet waar jij het vandaan haalt dat een switch dan in een hub zou veranderen. Lijkt me niet echt waar namelijk. Neem aan dat het systeem meer dan alleen een softwarematige aanpassing vergt. Andere soorten switches en routers zullen ook wel aangeschaft moeten worden. Wellicht dat daarom de prijs per werkstation zo hoog ligt. Met een werkstation alleen kom je er natuurlijk niet. Zonder switches en routers kun je net zo goed het telraam weer herintroduceren.
De kans op een terroristische infiltratie van je bedrijf is verwaarloosbaar in verhouding tot de kans dat een ontevreden werknemer gaat klooien. Stel je eens voor: Een ontevreden Sales werknemer die het volledige klantenbestand aan de concurrent verkoopt. Een ontevreden programmeur die code wijzigd of verkoopt. Een systeembeheerder die gewoon vertrekt met een backup tape...

Zeker in het MKB, waar meestal geen hele hordes aan systeembeheerders zijn, moet je de beheerder 100% durven te vertrouwen. Hij (deze en al de hierop volgende 'hij's zijn natuurlijk m/v) maakt de backups, hij checkt ze, hij slaat ze op. Als deze persoon over de rooie gaat kan hij alle backups slopen, en gewoon de werkstations/server leeggooien. Tot zover het bedrijf. Tuurlijk kan je backups bewaren op een veilige plek in een bankkluis, maar wie heeft deze backup gemaakt en gecheckt?

De echt grote bedrijven en overheidsinstellingen doorlopen zeer zeker wel een grondig achtergrondsonderzoek naar een persoon voor zij deze aannemen, maar dit kan niet laten zien of deze in de toekomst wel tevreden zal zijn bij het bedrijf. Alleen of het in het verleden is voorgekomen.
Ehm, de mens is toch altijd de zwakke schakel :?

Zelfde als met computers werken: dat ding doet niks fout, het is de opdrachtgever(de mens) die het fout doet waardoor de computer niet reageert zoals de gebruiker verwacht...
Dat ding kan ook wel degelijk iets fout doen. Als je geheugen rot is maakt hij echt geen goede berekeningen meer, en bij een gecrushte core zit je ook met niet kloppende calculaties.

Het is echter _meestal_ de fout van mensen. :)
Volgens mij is het een hoax:
1) Domein is in 2002 pas aagevraagd, terwijl het bedrijf in 1999 is opgericht
2) De website zuigt. Hij is leijk en bevat geen informatie, geen foto's van de apparatuur en alleen vage zinnen als: 'er zijn bedrijven die ons systeem hebben getest'. Welke bedrijven dat waren en wat de resultaten waren dat willen ze nie zeggen. Ik krijg nu associaties met wasmiddel reclames die altijd veel beter zijn.
3) De Nederlandse reseller (http://www.anarkey.org/ en anarkey.info) had nog eerder zijn website in de lucht. De org site is geregisteerd in californie en de info in Nederland. Bij de whois info van de .info staat nog wel de adres gegevens en telefoon nummers, bij de .org versie staat verder niet behalve de CA.
Deze nederlandse reseller is bezig met weer een reseller programma op te zetten. (iemand pyramides?)
Hier is de gehele prijslijst van het geheel
http://www.anarkey.org/documenten/Richtprijzen%201.1%20(2003).doc
in DOC formaat.Stelletje gekken, is het soms te moeilijk om ook deze in pdf om te zetten. (zodat het editen wat minder makkelijk wordt)
4) Foto's van de presentatie:
http://www.p7.nl/gallery/view_album.pcgi?set_albumName=album15]foto's
Hier kan je zien hoe professioneel het bedrijf wel niet is. I.p.v. een beamer te gebruiken staan ze een beetje dom met een rode, bijna lege pen op een stuk papier te schrijven. Door de plaatsing van de papier-ezel kunnen 5-10 personen de gehele presentatie niet zien. Weer een teken van de enorme professionaliteit van de organisatie. :+

Als het al een bedrijf is, dan is het een zeer onprofessioneel bedrijf. Elk bedrijf wat met deze gasten in zee gaat, mag van mij worden opgelicht voor ettelijke miljoenen.
Invisilan is een grappig concept, maar om nou te zeggen dat het uitgedacht is: NEE.
Ze vergeten ook even dat er tal van services zijn die vertrouwen op VASTE mac-adressen en ip's en niet eens overweg kunnen met deze manier van beveiliging. Er zijn meer aanpassingen nodig dan ze ons proberen voor te houden, maar dat is ook te wijten aan het stukje commercie wat ze pogen te plegen om meer mensen warm te krijgen voor hun ideeŽn.
Daarom zal je dus ook die speciale hard- en software nodig hebben. Die zullen dat probleem dan wel oplossen.
Kan me alleen niet indenken dat als je bijvoorbeeld een mailserver opzet dat ie dat allemaal goed gaat doen, ook al heb je speciale hard en software. Hoe zit dat dan met het feit dat als je bijvoorbeeld batched smtp gebruikt en je mail dus naar een vast punt bezorgt moet worden? Er zullen altijd partijen zijn die NIET Invisilan gebruiken en waarmee je wel moet kunnen werken. Wat dus resulteert in mogelijk points of entry in je netwerk omdat op die punten Invisilan misschien wel niet eens mogelijk zou kunnen zijn. Dan kun je nog zo hard alles er om heen beveiligen, maar dan blijf je het toch houden dat waardevolle informatie en systemen gehacked kunnen worden.
Kom nou, 2 van zulke experts, 2000 euro aan hard- en software, en dan geen mailserver kunnen draaien? Maargoed dit is eigenlijk een beetje een zinloze discussie aangezien wij het niet kunnen weten he :)
dit lijkt me verre van een hoax
dit is eerder een duidelijk voorbeeld dat een gespecialiseerd bedrijf absoluut niet alle toeters & bellen nodig heeft om een klant te overtuigen tot het gebruik van hun product.
zeker als je rekening ermee houdt dat woolsey & sheymov niet de eerste de beste zijn.
verder zoals al eerder werd vermeld is het kritiek verre van gegrond van KPN & ABN maar KPN & ABN zijn ook maar kleine vissen in de vijver & leuk maar verre van interessant. ze zullen het eerder richten op grote banken of verzekerings bedrijven waar grote sommen in omgaan.
verder dingen zoals dat je mailserver.. vnc of wat dan ook die toch ip/mac gebonden zijn niet meer werken. dit zijn dingen waar de ontwerpers ook mee hebben gezeten en het lijkt me sterk dat ze dit niet hebben opgelost
verder.. 2000 dollar per werkstation.. werkstation die tussen i'net/lan zit ja.. is het dan nog steeds veel? zeker met het beeld van een werknemer die er vantussen gaat met 15 mil ofzo? want dit gebeurd toch wel met regelmaat.

edit.. typo :P
aangezien ABN AMRO een AAA-Bank is, in de top-10 van europa, en de nr 22 van de grootste van de wereld, denk ik dat jij geen idee hebt waar je het over hebt als je zegt dat zij slechts een kleine vis zijn.
Wat is dan wel een grote bank volgens jou?

ABNAMRO was heel lang degene met het grootste netwerk van nederland.
Nu allang niet meer, immers ze hebben grote delen uitbesteedt aan providertjes die IP-wolkjes verkopen..... (zonder zich te realiseren wat te doen als zo'n wolkje wegwaait.... zoals Quest!)
euh...ABN is geen AAA ..da's maar 1 bank en da's Fortis.

Je vergeet 1 klein detail..ABN heeft gedeeltes van het beheer uitgegeven niet het netwerk..trouwens met 110.000+ werkstations en servers en dan 2000 euro per werkstation? Tel eens na.
Denk dat voor KPN hetzelfde geldt.

Trouwens ongezouten kritiek in wiens ogen? Ik ken die heren toevallig die over security gaan bij de ABN en dat zijn geen noobs. KPN zal wel hetzelfde zijn.

Beetje makkelijk ook om hier te gaan zeggen dat het een hoax is e.d. maar jullie (en ik) waren er niet bij dus denk eerst eens na voordat je dit soort reacties geeft.
Je vergeet 1 klein detail..ABN heeft gedeeltes van het beheer uitgegeven niet het netwerk..
oh nee?
Versatel? Telfort ?
Ik ken die heren toevallig die over security gaan bij de ABN en dat zijn geen noobs.
nou ik ken er ook een stelletje bij die bank en dat zijn inderdaad geen noobs. Echter de heertjes die de besluiten maken ken ik ook en dat zijn wel noobs.

Die EUR 2.000,- per werkstations maakt ze geen moer uit. In het verleden hebben ze ook de meest belachelijke dure speeltjes naar binnen gehaald (ook security: belts van Fl 800,- om maar eens een voorbeeldje te noemen) en op zich maakt de prijs van een werk-station niet veel uit op de prijs van een werk-plek. En daarna is degene die het toetsenbord moet vasthouden nog het allerduurste.....
Helemaal raar schijnt het toch niet te zijn.
Gek genoeg werd ook in de eerste tweakers Fp ( zie http://www.tweakers.net/nieuws/27751/?highlight=invisilan ) het systeem afgekraakt maar op netkwesties.nl staat toch heel duidelijk:
Uit de bijeenkomst in Amsterdam bleek onomwonden dat je wellicht een perfecte netwerkbeveiliging kunt scheppen, daar zullen technici het nog wel over eens kunnen worden met Sheymov. InvisiLan komt daar dicht bij.
Dus ergens zien die experts iets in dit systeem.
Ik niet, overigens.
Ik vind het echt schandelig dat die KPN en ABN Amro mannetjes zich zo hebben gedragen. Laat ze het eerst een demonstreren en geef daarna kritiek, maar nu gingen ze van allerlei vooroordelen uit hoe het systeem zou moeten werken, wat dus helemaal niet klopt.
Ik denk dat die meeting alleen maar egostrelerij was voor de 'hoge' mannetjes.
Gewoon nieuwe systeembeheerders de eerste 3 jaar niet bij het netwerk in de buurt laten komen! ;)
zo'n strijd win je nooit, het is altijd een kat en muis spelletje, de ene keer wint de beveiling, de andere keer niet...

net als met cd/dvd beveilingen, er word ALTIJD wat op gevonden

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True