Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 38 reacties
Bron: Heise, submitter: begintmeta

Evil Scientists logoDe programmeurs van de groep Evil Scientists hebben een methode gevonden om de opgeslagen wachtwoorden van Cisco's VPN-Client te decoderen. Het programma decodeert de opgeslagen informatie aan de hand van een vast algoritme, waar geen invoer van een gebruiker voor nodig is en dus zonder extra gegevens zichtbaar kan worden gemaakt. Na dit algoritme nauwkeurig te hebben bekeken, konden de hackers een programma schrijven dat precies dezelfde handelingen uitvoert en zo de wachtwoorden kan ontcijferen, zonder dat hier extra rechten voor nodig zijn. De hackers hebben aangekondigd dat ze bezig zijn met een oplossing voor het probleem en verwachten binnen enkele dagen een programma te kunnen presenteren dat de wachtwoorden extra verhaspelt met een door de gebruiker ingevoerde sleutel.

Moderatie-faq Wijzig weergave

Reacties (38)

Mijn god... dit gaat toch helemaal nergens over!

Advances in local password obscurity... is een leuke challenge om te reverse engineeren, maar om nou te zeggen dat het echt zo brilliant is dat dit het nieuws moet halen? nee...

Is het een lek/probleem in de software? nee... je kiest ervoor om je wachtwoord op te slaan... gek eh dat het dan terug te halen is! Je hebt toegang tot de machine... dan is het toch logisch dat je het terug kunt halen...

@thekip
Dit gaat om de VPN client... windows ding... (lees artikel)

Je hebt de keuze om je wachtwoord wel of niet op te slaan... je kunt je vpn wachtwoord weer met een ander wachtwoord versleutelen maar daar schiet je natuurlijk niet echt veel mee op... het is puur een gebruikers gemak... net als de wachtwoorden opslaan in je browser...

@arakrys
Het is een _client_ je logt er niet op in... zoals ik al zei... vergelijk het met wachtwoorden opslaan in je browser... hij zal en moet het toch "cleartext" moeten weten... dus een hashing techniek zoals je bedoelt is niet mogelijk... dus passen ze obscurity toe...
Ik vind het wel degelijk belangrijk nieuws. Het mag dan logisch zijn dat je dit soort versleutelde wachtwoorden kan ontcijferen, maar dat maakt het niet gewoonlijk dat er een manier wordt gevonden waarmee iedereen dat ook daadwerkelijk succesvol kan doen.
De wachtwoorden worden niet voor niets versleuteld: het doel is dat ze veilig genoeg opgeslagen kunnen worden zodat alleen met het programma waar ze voor bedoeld zijn uitgelezen kunnen worden. Cisco software staat gewoonlijk voor veiligheid, waar de gebruikers tot in hoge mate op kunnen vertrouwen. Die veiligheid blijkt nu dus voor de opgeslagen wachtwoorden minder waard. En dat is in dit geval nog vervelender omdat het probleem zich voordoet bij software die juist bedoeld is voor veiligheid te zorgen.
Zolang de situatie bestaat dat er theoretisch een methode gevonden wordt om de versleuteling leesbaar te maken is er een kleiner risico dat er misbruik gemaakt zal worden dan het moment waarop er daadwerkelijk een publieke tool beschikbaar is om het te kunnen ontcijferen.
Waarom zou je een .pws decoderen als je toch al toegang hebt tot de machine. Dan kan je net zo goed even VPN inloggen en password veranderen.
Omdat mensen misschien datzelfde wachtwoord ook voor andere zaken gebruiken waar je meer interesse in hebt.
Kan je dat voor ons oningewijden uitleggen? Als ik wil inloggen in zo'n machine moet die machine toch op een of andere manier het wachtwoord ergens mee kunnen vergelijken? Gebruikelijk is dan een irreversibele (onomkeerbare) rekenmethode los te laten bij de eerste invoer en de uitkomst op te slaan. Om te kunnen vergelijken bij latere bezoeken. Of hebben we het hier over iets anders?
Dus jij kent je preshared key uit je hoofd?
Is het een lek/probleem in de software? nee... je kiest ervoor om je wachtwoord op te slaan... gek eh dat het dan terug te halen is! Je hebt toegang tot de machine... dan is het toch logisch dat je het terug kunt halen...
Nee, zo logisch is dat (volgens mij) niet als je user access hebt.
Het OS zou de authenticatiegegevens op zo'n manier op moeten slaan dat de gebruiker (en zijn applicaties) het wachtwoord zelf op geen enkele manier meer kunnen lezen. Het OS kan dan op verzoek van een applicatie een authenticatie uitvoeren maar het is voor een cracker niet mogelijk de gegevens te stelen en dan op een andere machine de authenticatie uit te voeren.
Ik denk dat je ervan uit mag gaan dat je in zo dure (bijvoorbeeld) routers er wel vanuit mag gaan dat er iets van encryptie overheen gaat...
Ik denk dat je ervan uit mag gaan dat je in zo dure (bijvoorbeeld) routers er wel vanuit mag gaan dat er iets van encryptie overheen gaat...
dat is wel heel naief om er vanuit te gaan dat als iets duur is dat het dan wel goed is. Cisco heeft nou niet bepaald een goed security record. Als je echt iets te beveiligen hebt dan moet je niet alles op cisco producten baseren, en misschien zelfs wel helemaal niets op cisco producten baseren.
Op het vpn 3000 platform, waar ik voor het bedrijf mede verantwoordelijk voor ben... staat de optie op de concentrators om wachtwoorden lokaal op de client op te slaan dus al vanaf het begin uit (dit is een keuze optie binnen een profiel) en daarnaast gebruiken we dus RSA tokens om gebruikers binnen te laten. one-time-passwords dus. Deze 2 opties verhogen de veiligheid sowieso enorm (ipv gebruikers zelf een wachtwoords te laten bedenken, welke niet al te vaak veranderen en ook nog eens (vaak,tot altijd) gecached op een systeem staan... Omdat het zo makkelijk is!

Profile passwords gegevens, zijn simpel uit een profile directory te copieeren. Maar geven iemand nog geen toegang tot het netwerk als iemand die copieerd.
(Verder is er nog een optie welke grouplocking doet, en een gebruikersnaam van een user beperkt tot een profiel zodat als kan alleen rechten tot een USER profiel heeft (met daaraan vast rechten tot resources) hij dus niet kan inloggen op een BEHEERS profiel welke hij mischien niet terecht heeft weten te bemachtigen...

Zie zo zeer het probleem niet, zal morgen wel weer commentaar krijgen van andere collega's en personeel dat dit systeem onveilig is.... (Ze horen de bel wel luiden,maar weten niet waar de klepel hangt).....
Het is inderdaad een beetje hetzelfde als gillen dat Thunderbird/Outlook/Outlook Express onveilig zijn omdat je daar ook simpel het wachtwoord uit kunt decoderen...

Ik ken die VPN client van Cisco, en weet dat je aardig wat moeite moet doen om je wachtwoord op te laten slaan. Alle beheerders hebben er uiteraard een pesthekel aan (en terecht) maar alle users doen het toch.
Dat het dan niet veilig is kan iedereen toch bedenken?
Het leuke van de client is dat deze een profiel download van het headend zodra een gebruiker met het netwerk verbinding maakt. Op dit moment kent de client alle instellingen mbt waar hij bij mag, welke protocollen er gebruikt worden etc. NIETS word opgeslagen op de client. Als ik wij bepalen dat pietje ergens wel of niet bij mag dan is dat final. Zelfde ook voor het opslaan van wachtwoorden.... nee betekend nee... Het is gewoon een erg mooi platform. Moet de eerste gebruiker nog tegen komen die mij anders aantoont.
Het leuke van de client is dat deze een profiel download van het headend zodra een gebruiker met het netwerk verbinding maakt.
zoals in een andere posting al vermeld: er zijn genoeg clients op het internet te downloaden die het profiel niet meer downloaden, zodat lokaal er met andere instellingen gewerkt kan worden.
Moet de eerste gebruiker nog tegen komen die mij anders aantoont.
doe je best met google
Het probleem is echter dat bij de meeste bedrijven het woord security leuk is voor de managers en alles vervolgens lekker standaard en zo eenvoudig mogelijk geinstalleerd wordt, omdat de medewerkers vaak gewoon of de kennis niet hebben of de tijd/geld er niet voor krijgen om het voldoende uit te werken. Dit is weer een bug zoeken en proberen op te lossen die niet in de software/hardware zit, maar in de gebruiker.

Ik ben niet bepaald een Cisco expert, maar ik ben het wel met thevoid eens. Echt speciaal is dit niet. Je hoort te weten dat voor alles geldt: Alles wat zonder een invoersleutel (of een 2e gegenereerde sleutel) gedefinieerd die door de gebruiker ingevoerd wordt en waarbij een encryptie plaats vindt, je zowiezo ongeacht encryptie algoritme alles simpel kan ontcijferen.
de optie op de concentrators om wachtwoorden lokaal op de client op te slaan dus al vanaf het begin uit
Je zegt het zelf al "de optie op de concentrator" en "op de client". En wat nou als die client die optie nou eens negeert? Want dat soort clients zijn er genoeg op het internet te vinden...
nu maar hopen dat dit niet voor cisco dochters geldt...
Mijn bedrijf heeft net een Cisco PIX firewall geinstalleerd, met daarbij de cisco vpn client.

Waarschijnlijk komt er redelijk snel een update, aangezien de encryptiemethode redelijk makkelijk aan te passen moet zijn.

Als die update er niet snel komt zullen we wel onze policies moeten herzien, bah.

EDIT
Snel doorgelezen zijn de implicaties te vewaarlozen, gewoon verbruikers verbieden de wachtwoorden op te slaan. Zou eigenlijk standaard al verboden moeten worden.
Het is niet te verwaarlozen. Het gaat hier namelijk ook over preshared keys.

Ik weet niet hoe het met jullie zit, maar wij hebben geen PKI uitgerold en gebruiken dus gewoon preshared keys.

Het enige wat je nog nodig hebt is een username/password om binnen te komen op het bedrijfsnetwerk.
Onze gebruikers werken op 'thuiswerk laptops' die puur voor het inbellen bedoeld zijn.

Om deze gegevens te kunnen decrypten heb je toegang tot het systeem nodig, nou als het al zo ver komt zijn er al legio van andere manieren om achter iemands key te komen.

Dit voorbeeld toont alleen maar aan dat je prive (prive PC) en werk (werk PC) gescheiden moet houden.
Snel doorgelezen zijn de implicaties te vewaarlozen, gewoon verbruikers verbieden de wachtwoorden op te slaan. Zou eigenlijk standaard al verboden moeten worden.
sja dan is je netwerk even veilig als de minst gezagsgetrouwe medewerker. Want er zijn op het internet genoeg clients te vinden voor cisco pix waar de gebruiker dit soort policies kan omzeilen aan de client kant.
Dat denk ik niet LS is nog niet overgestapt op de firmware van cisco.
Mooi van die Hackers dat ze ook aan een oplossing werken! Dat zijn nou nuttige hackers! Als ze dat nou vaker zouden doen dan zou er een hoopminder rotzooi over het internet heen en weer vliegen!
Waarschijnlijk kunnen ze er ook nog wel een paar cent
aan verdienen!... Mij lijkt dat bedrijven een redelijk bedrag
overhebben voor werkelijke versleuteling. Wellicht verhalen
ze ook de kosten op Cisco indien ze niet
zelf snel met een update komen!
Maybe wat overkill, en ik wil de discussie hacker vs cracker niet weer doen oplaaien... maar kijk voor de aardigheid eens naar wat een definitie betekent voor je hem hanteert (en zwart maakt in dit geval):
http://nl.wikipedia.org/wiki/Hacker

reactie op k1n8fisher uiteraard..
Nou als ik het zo lees valt het allemaal wel mee...

Puur als je een wachtwoord op slaat levert het een probleem op. Vaak zal dat bedrijven puur de vpn groep naam en password zijn. De rest gaat met een username en een one-time-password.

Geen probleem op dit moment!
Dit is volgens mij iets typisch voor hele grote bedrijven. Overal worden fouten gemaakt maar als de nummer 1 dat doet dan heeft meteen de hele wereld er last van. Beetje zoals met Microsoft. Ter info: Cisco is ruim 2x zo groot als al zijn concurrenten opgeteld (gekeken naar omzet.
:7
dit is oud nieuws, dit kon twee jaar geleden ook al. Door 'strace' te draaien terwijl je de cisco vpn client onder Linux start zie je het unencrypted wachtwoord gewoon voorbijkomen. (waarna je dat wachtwoord in de configuratie van de open source 'vpnc' client kunt invoeren zodat je een vpn met veel meer functionaliteit hebt)

Dit is gewoon een feature van het vpn systeem dat cisco gebruikt, dat password is alleen obscured, en kan vanwege het ontwerp niet echt beveiligd worden, want de client moet het toch kunnen decrypten om de verbinding aan te gaan....
Domme vraag misschien, maar ben je zowiezo niet onveilig bezig als je Trusted VPN gebruikt?

Je hebt toch immers ook Secure VPN, welke cryptografische tunnels, zender authenticatie en message-integriteit gebruikt, oa via het IPsec protocol?
Heb het getest en je kunt het inderdaad zo lezen.
Maar op een Concentrator kun je instellen dat user-wachtwoorden niet opgeslagen mogen worden en dus ben je pas op de helft als je een profiel wil kraken.

Dus het gat is nog niet erg groot, maar ze zijn 1 stap verder.
Correcte afschildering van hackers (voor de verandering) in dit artikel. Mag ook gezegd worden. :)

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True