Hacker presenteert goedkope netwerkbeveiliging

Door Joost Schellevis, donderdag 1 juli 2010 12:05, 105 reacties • Feedback

Op de Hack in the Box-beveiligingsconferentie in Amsterdam heeft hacker John Flowers een goedkoop, open alternatief voor traditionele netwerkbeveiliging geïntroduceerd. Kane-Box bestaat uit opensource-software en simpele hardware.

Volgens John 'Kanen' Flowers is Kane-Box een firewall, router en een intrusion prevention system in één. Flowers stelt dat het systeem niet met signatures en regels werkt, zoals gebruikelijk bij netwerkbeveiligingssystemen. Volgens hem leert het systeem uit zichzelf wat goed en slecht internetverkeer is. Kane-Box gebruikt daarvoor onder andere het principe van Bayesiaanse kansberekening, dat bijvoorbeeld ook voor het spamfilter van Gmail wordt gebruikt. Volgens Flowers werkt Kane-Box daardoor beter dan traditionele systemen.

Kane-Box kan volgens Flowers worden opgesteld tussen het internet en het interne netwerk. Door het systeem bijvoorbeeld een week te laten draaien, zou Kane-Box leren welk internetverkeer in dat specifieke netwerk bonafide en welk malafide is. Vervolgens kan met deze kennis worden voorkomen dat een indringer een verbinding met een pc in het netwerk opzet.

Het is overigens maar de vraag of het systeem volledig zonder regels werkt. Het zou volgens Flowers wel grofweg weten wat ongewenst internetverkeer is. Dit duidt erop dat er wel degelijk regels zijn voorgeprogrammeerd. Kane-Box kan via een console-interface en een web-interface worden bediend.

Flowers claimt dat het systeem veel goedkoper is dan traditionele netwerkbeveiligingsmethoden. Hij verwacht dat het kastje uiteindelijk tussen de 200 en 400 dollar zal kosten. Volgens Flowers kan het systeem opboksen tegen beveiligingssystemen van duizenden tot tienduizenden euro's.

Bovendien hoeft er geen kastje bij Flowers te worden aangeschaft. Elk systeem met twee netwerkkaarten en eventueel een draadloze interface zou geschikt zijn. Ook optioneel zijn twee usb-poorten, waarmee bijvoorbeeld usb-schijven en printers aan het netwerk kunnen worden gekoppeld.

De software kan gratis worden gedownload en is opensource. Volgens Flowers is er veel aandacht besteed aan het leesbaar maken van de applicatie, die is geschreven in de programmeertaal Lisp. Kane-Box draait op een embedded Linux-distributie. De tool kan ook in een virtual machine worden gebruikt.

Kane Box presentatie

Reacties (105)

+1 kaiserfoosa
1 juli 2010 12:08

als het opensource is, is het dan niet weer potentieel kwetsbaar voor mensen die er kwade bedoelingen mee hebben?

+2 Rob Coops

Internettoegang
Beveiliging
Privacy
Netwerktechnologie
Internet
Hackers
Websites en communities

@kaiserfoosa • 1 juli 2010 13:36

Als het closed source is is het niet anders hoor, alleen is het dan zo dat je als eindgebruiker bent overgeleverd aan de grillen van een bedrijf dat misschien het door jouw gevonden lek niet als belangrijk genoeg ziet of pas in een volgende versie over 3 maanden eens wil oplossen dan wel een flinke berg geld wil zien om de oplossing te leveren. Het grote voordeel van open source is dat als het probleem voor jouw groot genoeg is jij het opgelost kan krijgen door het zelf in orde te maken dan wel door iemand te betalen die het voor jouw oplost op het moment dat jij vind dat je het nodig hebt.
En dat kan voor veel bedrijven echt heel erg belangrijk zijn. Heb je ooit als eens een fout in een driver gevonden die alleen in zeer specifieke gevallen tot problemen leid? Als je dat gebeurt en je merkt dat de nieuwe server die een webservice host die wereld wijd door duizenden bedrijven gebruikt wordt om de een of andere reden 99% van de packets van een aantal subnets uit Amerika dropt dan kon dat nog wel eens heel erg belangrijk zijn om het NU opgelost te krijgen.. bijvoorbeeld. Even een nieuwe machine bouwen waar al snel een paar maanden werk in gaat zitten is geen optie (grote databases die geen outage mogen hebben kun je niet zo maar verhuizen naar een andere machine). Als je dan een zak geld op tafel kunt gooien en het probleem lost direct op dan maakt de grote van die zak veel al weinig meer uit zo lang het maar minder is dan de schade die je oploopt als de service nog een paar dagen niet werkt en het maar sneller oplost dan de tijd die jij nodig hebt om een totaal nieuw systeem te bouwen. (Er zat een error in de subnet berekeningen voor de gebruikte netwerk kaart, het koste HP 2 weken om het probleem te reproduceren, op te lossen en een nieuwe driver uit te brengen. Als het een open source driver was geweest dan had het bedrijf zelf ook kunnen zoeken naar een oplossing en misschien wel sneller een werkbare oplossing gevonden... dat had best aardig wat geld kunnen schelen.

De kaarten in kwestie waren uitzonderlijke kaarten die alleen in zeer specifieke systemen gebruikt werden, een dual ports netwerk kaart in een low profile PA-RISC kast omdat er niet genoeg ruimte was om op een andere voldoende netwerk kaarten in deze kast te krijgen... voor zo ver ik weet zijn er maar drie machines met zo'n setup in gebruik voor een wereldwijde service en kon het probleem alleen op treden als de server zich in een zeer beperkt aantal subnets bevond en dan alleen voor 1 a 2 subnets... al die toevalligheden moesten samen komen om het probleem aan het licht te brengen.

Open source is lang niet altijd een goede oplossing maar zeker als er veel op het spel staat en er een redelijke community en dus kennis is van het product dan kan het in veel gevallen een groot probleem voor een marginale groep een heleboel sneller oplossen. In dit geval had het bedrijf het "geluk" dat HP zelf nog al wat hinder ondervond van deze bug waardoor het probleem net even wat voortvarender aangepakt werd dan het geval zou zijn als dit bijvoorbeeld een consumenten of MKB probleem was geweest. In dat soort gevallen is open source echt een uitkomst.

+1 Dutchy007
@kaiserfoosa • 1 juli 2010 12:09

Hoeft niet per se, mensen die goede intenties hebben kunnen natuurlijk ook de beveiligingslekken er utihalen bijv.

HerrPino
@Dutchy007 • 1 juli 2010 12:41

Idd,.. ware het niet dat vrijwel niemand zijn tijd besteed aan het zoeken naar security gaten puur om deze te fixen. Daarentegen zijn er genoeg mensen die er baat bij hebben en er geld mee kunnen verdienen door deze gaten te misbruiken. Ik geloof er persoonlijk ook helemaal niets van dat open-source zoveel veiliger zou zijn. Eerder het omgekeerde... het enige waarom je nu nog redelijk veilig zit is omdat vrijwel niemand het gebruikt en dus geen aantrekkelijk doel is.

[Reactie gewijzigd door HerrPino op 1 juli 2010 12:42]

blouweKip
@HerrPino • 1 juli 2010 12:59

Eerder het omgekeerde... het enige waarom je nu nog redelijk veilig zit is omdat vrijwel niemand het gebruikt en dus geen aantrekkelijk doel is.

Precies, wie gebruikt het internet nu nog tegenwoordig..

+1 Gepetto
@blouweKip • 1 juli 2010 14:09

Ik denk dat HerrPino doelde op de Kane-box en niet op het internet zelf.

kokx
@Gepetto • 1 juli 2010 14:30

Hij doelde op opensource software. En hieronder valt linux. En als je een beetje weet hoe het internet in elkaar zit, weet je dat vrijwel alle websites linux draaien.

FrankTM
@kokx • 1 juli 2010 16:40

veel veel, vrijwel alle, zeker niet

http://news.netcraft.com/...2010/06/wpid-overallc.png

bron

Yalopa
@FrankTM • 1 juli 2010 22:14

dik de helft dus eigenlijk

+1 Xian-Pu
@kokx • 5 juli 2010 13:24

Misschien nog niet eens de helft:
Apache draait ook onder MS Windows (Server), dus Apache != Linux.

J2pc
@HerrPino • 1 juli 2010 13:02

bron?

Helaas kan ik je vertellen dat 'security by obscurity' nog veel gebruikt wordt in (closed) software.

Xirt
@J2pc • 1 juli 2010 14:34

Ik denk dat Windows hier het grote voorbeeld van is; niet voor niets worden er maandelijks nog steeds meerdere patches uitgebracht om lekken te dichten. Als iemand met kennis van zaken de broncode van Windows zou hebben, zou deze waarschijnlijk met groot gemak nog een aantal lekken bloot kunnen leggen.

RuuddieBoy
@Xirt • 1 juli 2010 15:28

Bedenk je wel dat de broncode van Windows extreem groot is tov de vrij compacte Linux kernels. Dat is echt niet iets waar je in een weekje doorheen gelezen hebt.

Blokker_1999

Internet
Internettoegang
Websites en communities
Hackers

@RuuddieBoy • 1 juli 2010 18:55

Linux is echt niet compact te noemen. Veiligheid houd ook niet op bij de kernel, elke applicatie is een potentieel doelwit. Ik denk dat als je de grote van de broncode neemt van een gemiddelde distributie en dit vergelijkt met Windows dat je zult merken dat Linux meer broncode heeft.

+1 mickvdv
@Blokker_1999 • 1 juli 2010 19:54

Natuurlijk is elke applicatie een potentieel doelwit. Maar dat is bij elk besturings systeem zo.

Onder linux (en windows) is het niet mogelijk om via een applicatie code uit te voeren op het os zelf (met root / admin rechten). Wat concreet inhoud dat als er een lek in de webserver software zit ik niet bij de emails kan komen.

Ik denk dat als je de grote van de broncode neemt van een gemiddelde distributie en dit vergelijkt met Windows dat je zult merken dat Linux meer broncode heeft.

Maar als je alle de broncode van alle windows applicaties die je hebt draaien daarbij optelt kom je denk ik ongeveer op hetzelfde uit.

OddesE
@Blokker_1999 • 1 juli 2010 23:34

Veiligheid houd ook niet op bij de kernel

Dat is inderdaad de fout die iedereen maakt: Niet beseffen dat elke app die een verbinding met het netwerk opzet en een kwetsbaarheid bevat in principe je hele systeem kan compromiteren. Daarom is een opmerking als "Linux is veiliger dan Windows" ook complete onzin. Je kunt niet alleen een kleine subset vergelijken. Je moet twee volledig ingerichte systemen pakken en elke individuele applicatie die is geïnstalleerd analyseren. Een linux met een webserver er op die zo lek is als een mandje kan honderd keer onveiliger zijn dan een kale Windows met de Windows Firewall goed ingesteld.

En zelfs als je dan, na uitgebreide analyse (die voor een simpel PC-tje waarschijnlijk al vele tienduizenden euros zou kosten en dan nog maar beperkte zekerheid zou geven) weet dat je systeem veilig is, dan kun je ook niet even een applicatie erbij installeren. Dan zou meteen die applicatie weer het hele systeem kunnen bedreigen en dus ook helemaal geanalyseerd moeten worden.

Je kunt dit wel redelijk dichtzetten als je de app heel goed installeert (draaiend onder een account met beperkte rechten e.d.) maar dat is geen sinecure en vereist specialistische kennis van zaken. Je bent zeker niet veilig gewoon omdat je besturingssysteem X of Y draait!

Xirt
@RuuddieBoy • 1 juli 2010 15:37

Dat is geen echt argument; het echte argument is (als we het dan toch over open source hebben) dat de community velen malen groter is dan het aantal werknemers bij Microsoft. En 'twee paar ogen zien meer dan één', dus zullen fouten sneller eruit gehaald worden bij het product met de grotere werkgroep (Linux in dit geval).

roy-t
@Xirt • 2 juli 2010 12:00

@ZeroSixZero:

Hmm dat komt niet omdat we het hebben over een OS dat op een oneindig aantal verschillende hardwareconfiguraties draait en dat dagelijks tienduizenden mensen proberen om Windows te hacken?

.

@RuuddieBoy:

Common misconception, de Windows Kernel is extreem klein, juist Linux gebruikt een ander kernel model dat wat groter is. Linux gebruikt een Monolithische kernel, waar nog steeds veel kritiek op is. zie http://en.wikipedia.org/wiki/Tanenbaum–Torvalds_debate en http://en.wikipedia.org/w...el-wide_design_approaches

Windows gebruikt een Hybrid kernel die dus kleiner is dan een monolitische kernel.

0 tetraplan
@J2pc • 1 juli 2010 15:25

nu zou je kunnen zeggen dat programmeren in LISP een vorm is van security by obscurity

0 Munters
@tetraplan • 1 juli 2010 16:26

Als je Lots of Irritating Silly Parentheses al obscuur vindt, dan ken je APL nog niet. Dat is m.i. de eerste echte write-only taal.
(Van de normale talen dan natuurlijk he? Dus even afgezien van BrainFuck grappen ed.)

+1 bramvandeperre
@HerrPino • 1 juli 2010 12:59

waardoor er weer de mogelijkheid komt om geld te verdienen met het vinden en dichten van deze dingen. Da's net zoals bij Firefox etc. Iedereen heeft er baat bij dat bugs/leaks eruit worden gehaald, behalve diegenen die ze misbruiken (minderheidsgroep?)

Yezpahr
@HerrPino • 1 juli 2010 13:01

Er word volgens mij ook nergens beweerd dat open source inherent veiliger is...
Alleen de manier waarop het geprogrammeerd word kan er wel voor zorgen dat DIE individuele manier, van het opstellen van het systeem en het beheren van het systeem door de software, inherent veilig is.

Maar zoals iedereen al, heb ik er ook genoeg van om steeds geluiden te horen (beide kanten op) over closed/open software en hun voor en NAdelen.

Het maakt toch niet uit dat het open-software is.
Daar kun je ZELF uit afleiden dat het in ieder geval word vertrouwd, door de makers, ervan als veilig om te showen.
Het programma kan zo geschreven zijn dat er inderdaad netwerk specifieke dingen aangeleerd worden en zo dus 99% veiligheid kan behalen (niet garanderen).

+1 tofus
@HerrPino • 1 juli 2010 14:04

Ik geloof er persoonlijk ook helemaal niets van dat open-source zoveel veiliger zou zijn

Ik kan natuurlijk ingaan op het feit dat een licentie-concept niks te maken heeft de uiteindelijke veiligheid van een product, laat staan met een persoonlijk 'geloof' er in.

Dit specifieke geval is dus geen geloofskwestie, maar gewoon een gevalletje van simpele feiten en historically proven track-records.

En om dan zo'n simpel feit uit de open-source security port-folio te noemen: OpenBSD.

En dan voortaan je mond houden als je weer eens van plan bent om geloof aan te halen in een technologie-forum.

[Reactie gewijzigd door tofus op 1 juli 2010 14:08]

+1 SaintK
@HerrPino • 1 juli 2010 15:59

Ik kan je vertellen dat er veel security mensen zijn die hobby matig dit soort systemen proberen te slopen en de resultaten hiervan terugkoppelen aan de developper die het vervolgens kan fixen. Voor de 1 is gamen een hobby, voor de ander programmeren, en voor weer een ander security van systemen

+1 degener
@HerrPino • 1 juli 2010 19:09

De oogst van nieuwe malware in 2009
==================================
Windows 1200.000
Apple 16
Unix-achtigen 55
==================================

http://www.security.nl/ar...OS_X_ontdekt_in_2009.html

+1 rob12424
@HerrPino • 1 juli 2010 22:56

Uhm wat je zegt is niet helemaal waar, in veel gevallen zijn er wel degelijk veel Whitehats die dingen opzoeken en fixen of insturen. Neem bijvoorbeeld Wine daar is echt supersnel een enorme vooruitgang. In sommige gevallen doen mensen het voor de eer (er is een ranglijst voor (zowel off- als on the record) en soms krijg je er ook een vergoeding voor!

Er zijn overigens ook bedrijven die dingen testen op lekken! (zo schijnt Redhat het bedrijf te zijn, met de meeste super computers die allemaal in clouds staan en elkaar contant aanvallen en verdedigen ook IBM schijnt dit te hebben maar of dit waar is?)

Eigenlijk zijn het vooral White en Gray hats die in de meerderheid zijn en een blackhat is niet altijd een gevaar! Dat zijn vaak de crackers en scriptkiddies!

+1 HAL 9000
@HerrPino • 2 juli 2010 02:29

Idd,.. ware het niet dat vrijwel niemand zijn tijd besteed aan het zoeken naar security gaten puur om deze te fixen.

Euh, jawel, er zijn hele hordes mensen die daarvan hun beroep gemaakt hebben. Beveiligingsexperts, academici, liefhebbers; Ik bedoel: heb je het artikel gelezen? En dat ze het hebben over een conferentie genaamd Hack in the Box? Daar loopt het vol van zulke mensen.

Ik geloof er persoonlijk ook helemaal niets van dat open-source zoveel veiliger zou zijn. Eerder het omgekeerde... het enige waarom je nu nog redelijk veilig zit is omdat vrijwel niemand het gebruikt en dus geen aantrekkelijk doel is.

Ja, want Apache bvb wordt niet zo veel gebruikt en is dus niet aantrekkelijk zeker. Dream on. Security through obscurity werkt niet, en zal nooit werken. Er zijn heel wat high profile producten die open source zijn, populair zijn, en toch heel veilig blijken. Doordat de source open is wordt het niet inherent onveiliger omdat slechten kunnen meekijken. Veiligheid komt er door een goed fundament te bouwen waarbij security van het begin is meegenomen in het ontwerp^; Veiligheid komt niet door alles in een black box te stoppen en dan maar te hopen dat er niets misgaat.

0 mkool89
@HerrPino • 1 juli 2010 13:41

In het kader van open source moet ik bekennen nog nooit een virus op mijn linuxbak gehad te hebben! dus het heeft zeker voordelen!

0 webkiller71
@HerrPino • 2 juli 2010 12:22

Een collega van mij is student informatica en die pakt voor zijn master Computer Security of CV regelmatig open source software, zoekt er lekken in, meldt ze en claimt ze. Dat kan niet zo makkelijk met closed source software.

Uiteindelijk wordt hij er beter van, want hij leert en vult zijn CV aan. Aan de andere kant is er weer een veiligheidslek uit open source software.

0 dasiro
@Dutchy007 • 1 juli 2010 13:02

je geeft het antwoord zelf dus al, hoeft niet maar kan wel, dus JA

en dat is zo met alle open-source, dus lang leve closed-source waar je zelfs geen code of commentaar van te zien krijgt, want door het compilen is die "verloren"

Forsith
@dasiro • 1 juli 2010 15:23

Wat is verloren? Als je gebruikt maar van een HLL zoals Java of C# kan je de broncode prima terughalen (inclusief comments). Zelfs diverse obfuscators die dit 'versleutelen' zijn gekraakt. Talen die wat lager zitten (C/C++) compileren rechtstreeks naar machinetaal, wat een stuk lastiger te achterhalen is. Maar verre van onmogelijk.

+1 Incr.Badeend
@kaiserfoosa • 1 juli 2010 12:13

als het opensource is, is het dan niet weer potentieel kwetsbaar voor mensen die er kwade bedoelingen mee hebben?

Eindeloze stomme discussie tussen closed source en open source. Is het anderzijds niet slim dat de fouten snel gevonden kunnen worden in een open-source pakket? Tja, security through obscurity is natuurlijk niet het antwoord, dus wat denk je dat dan beter is?

Waar ik me meer zorgen over maak is het feit dat het ding zelf gaat bepalen wat wel of niet goed is. Dat betekent dus dat 'one of these days' torrent verkeer stopt omdat het 'ongewenst' is. Vervolgens gaat het je een hoop tijd kosten om te troubleshooten, kom je uiteindelijk bij je kane-box uit en moet je hem vertellen dat het wel goed verkeer is?

Ik vraag me dus af hoe ze false positives gaan voorkomen.

[Reactie gewijzigd door Incr.Badeend op 1 juli 2010 12:15]

watercoolertje

Hackers

@Incr.Badeend • 1 juli 2010 12:17

Er zal wel een 'leer'-periode aan vooraf gaan die dat moet voorkomen op termijn...

+1 Vriess
@Incr.Badeend • 1 juli 2010 12:30

Firewalls blokkeren ook voor hun onbekende- of onregelmatig gebruikte applicaties en vragen aan de gebruiker wat er mee te doen. Het lijkt me dat dit systeem dat ook zal kunnen.

Rizon
@Incr.Badeend • 1 juli 2010 12:32

Het grootste probleem bij beveiliging zijn gebruikers die niet updaten. Dus bij open source kan een lek sneller gevonden worden en kan het sneller gemeld worden, maar daarom zijn je klanten er nog niet tegen beveiligd.

worldcitizen

Hackers

@kaiserfoosa • 1 juli 2010 14:17

De tijd heeft bewezen dat dit niet klopt.

Wat wel zo is dat veel gebruikte opensource software veel sneller gefixed wordt dan bijvoorbeeld Microsoft code.
Binnen OSS bestaat geen Patch Tuesday.
En er bestaat geen commerciële reden om iets niet de fixen.

Een ander voordeel is dat iedereen mee kan ontwikkelen/verbeteren direct of via patches aanleveren. Dit is niet mogelijk bij een gesloten commercieel project.

Erg jammer dat binnen de IT zo weinig kennis van OSS is, waardoor er verkeerde aannames gemaakt worden.

[Reactie gewijzigd door worldcitizen op 1 juli 2010 14:22]

+1 Mental
@worldcitizen • 1 juli 2010 15:14

En er bestaat geen commerciële reden om iets niet de fixen.

Zo'n aanname bedoel je?
OSS = niet per definitie gratis en dus niet per definitie losgekoppeld van commerciele belangen.
Dus iets niet fixen kan wel degelijk een commerciele reden hebben.

himlims_
@kaiserfoosa • 1 juli 2010 13:09

weet niet hoor, maar 80% van alle webserver in de wereld draaien op opensource software...

sniek
@kaiserfoosa • 1 juli 2010 14:12

Als er iets is bewezen de laatste jaren, dan is dat wel dat closed source absoluut niet veiliger is dan elk ander alternatief.

Het feit dat jij weet hoe een programma werkt, betekent niet dat je het makkelijker kan hacken als je daar ook de source bij hebt. Het is ook algemeen bekend hoe closed source UTM devices werken. Het gaat bij het vinden van zwakheden vaak niet om de code, maar om de architectuur van de software. Die kun je bij closed source ook gewoon achterhalen.

+1 johnkeates
@kaiserfoosa • 1 juli 2010 14:55

Security through obscurity is geen security, maar een waanbeeld van closed-source programmeurs die denken dat als niemand achter de schermen kan kijken er ook niemand hun programma's kan kraken..

Helaas zitten ze er altijd naast en blijkt open source een stuk veiliger te zijn om dat meer mensen controles kunnen uitvoeren.

Ruud v A
@kaiserfoosa • 1 juli 2010 18:11

Nee, want de veiligheid hoort in het algoritme zelf te zitten, niet in de geheimhouding van het algoritme.

0 OpenMinded
@kaiserfoosa • 1 juli 2010 13:46

dat is closed source ook.
Bij open source heb je tenminste de mogelijkheid om het in te zien en aan te passen.

+1 Gepetto
@OpenMinded • 1 juli 2010 14:14

Dus hebben kwaadwillende ook die mogelijkheid.

Ik kan een slot voor een kluis ontwerpen en zolang jij niet weet hoe het van binnen werkt is het knap lastig om het te openen. Nadat ik jou de ontwerptekeningen heb gestuurd is het waarschijnlijk al een stuk eenvoudiger.

jeroenr
@Gepetto • 1 juli 2010 14:28

Dus koop je zelf zo'n kluis, zaagt 'm open en dan weet je hoe het ontwerp in elkaar zit. Ik zou van m'n leven nooit m'n spullen in een kluis bewaren die schijnbaar zo'n slecht ontwerp heeft dat het kennen van het ontwerp je helpt bij het openbreken. Beveiliging is pas goed als ook het kennen van het ontwerp je niet helpt met het kraken. Dat is voor kluizen zo, maar dat is voor software nog veel meer zo.

Blokker_1999

Internet
Internettoegang
Websites en communities
Hackers

@Gepetto • 1 juli 2010 18:59

Niet noodzakelijk. Hoe komt het dan bijvoorbeeld dat er voor Apache minder veiligheidsgaten zijn dan voor IIS terwijl Apache toch OSS is EN meer gebruikt word dan ISS?

Caelestis
@kaiserfoosa • 1 juli 2010 13:40

Jij werkt bij microsoft zeker?

Opensource is bewezen veel veiliger dan closed source juist omdat er meer als een paar man per module aan werken en dus niet het onzin heeft van slecht programmatuur. En als iets in het open source slecht geschreven wordt zijn er nog een aardig wat mensen die het willen en kunnen verbeteren

Blokker_1999

Internet
Internettoegang
Websites en communities
Hackers

@Caelestis • 1 juli 2010 18:58

Er is nooit bewezen dat OSS veiliger is dan closed source. Het heeft zijn voordelen, maar ok zijn nadelen. Het is onmogelijk een vergelijking te maken tussen de 2

0 Aivy
@kaiserfoosa • 1 juli 2010 12:49

zou kunnen maar ik ben meer van mening: als ze echt willen komen ze er in, wat je ook gebruikt.

TheNephilim
1 juli 2010 12:09

Ik krijg het idee dat als hij 'leert' wat goed en slecht is, in het begin dus dingen doorlaat omdat hij niet weet dat het slecht is. Ook dingen die nieuw slecht zijn, die niet in z'n 'instap-week' voorbij kwamen.

eerdepeer
@TheNephilim • 1 juli 2010 12:13

Dat is niet helemaal waar:

"Het zou volgens Flowers wel grofweg weten weten wat ongewenst internetverkeer is. Dit duidt erop dat er wel degelijk regels zijn voorgeprogrammeerd."

Persoonlijk vind ik het systeem wat Google voor zijn Gmail spamfilter gebruikt erg prettig werken en zie ik veel potentie in het principe van dit beveiligingssysteem.

Predator
@eerdepeer • 1 juli 2010 12:27

Er is een groot verschil tussen bayesian learning voor iets zoals SPAM.
SPAM is tekst en de filters werken met logische verhoudingen zoals tekst/HTML/embedded images en patronen.

Voor netwerkverkeer is dat héél wat moeilijker.
Ik zie dat moeilijk effectief werken op alle niveau's.

Tenzij als dit een gedistribueerd systeem zijn zou welke updates van alles users terug onder alle users verdeeld.

Maar dan nog ...

Het zal wellicht wel effectief zijn voor protocol enforcement.
Een niet-HTTP connectie op port 80 zal wellicht wel als abormaal gezien worden.

Ook het blackbox gevoel is iets wat je in security absoluut niet wil.
Je wilt exact weten wat er wel en niet gefiltered wordt, en dat ten allen tijde.
Dit kan je helemaal niet bij dit toestel.

* Predator is absoluut niet overtuigd

+1 noskill
@Predator • 1 juli 2010 13:28

En is deze site geen text, met logische verhoudingen? Als je dat kan toepassen op emails, kan je (natuurlijk met andere filters ed) ook wel sites "scannen" hoor..

En waar lees je dat je niet kan zien wat er wel of niet gefilterd wordt? Ik ben het volledig met je eens dat je dit ten alle tijden wil weten, maar ik lees in dit artikel nergens dat je dat niet kan met deze software. Kan er natuurlijk ook 2x overheen gelezen hebben

. Het heeft een web/console interface.. lijkt me stug dat je hier nergens kan zien wat dat ding allemaal filterd en wat niet. Als het een firewall is zie je waarschijnlijk al het traffic.

4bit
@noskill • 1 juli 2010 16:38

Alleen dat netwerkverkeer wel meer is dan alleen mail en websites.

En waarschijnlijk heeft een log functie, maar meestal is het toch niet praktisch om alles te loggen. Zo word er vaak geblockte traffic niet gelogged omdat het normaal gezien toch geen kwaad meer kan doen.

En zoals Predator het zegt, in security wil je graag volledige controle over wat er gefilterd wordt en wat niet. En met bv iptables heb je daar tot in de puntjes de controle over. Je wil namelijk voor onder andere een nieuwe exploit nog steeds snel een rule toevoegen totdat er een patch geschreven is.

Ik vrees ervoor dat je hier gewoon het overzicht snel verliest over wat en wat niet gefilterd gaat worden, ook al leert het ding zeer goed.

+1 latka
@Predator • 1 juli 2010 13:58

Ik zie geen enkel probleem om netwerkverkeer als tekst af te beelden en SPAM filters erop los te laten. Neem tcpdump/wireshark en je bent ongeveer zover.

En als die box 1 week draait en alleen maar HTTP op poort 80 ziet met 'normale' URLs en dan ineens 1 URL met veel 'escaped´ karakters dan zal die wel afgaan (code-red)
of een POST waarbij het username veld naast ASCII ineens een '*' bevat (sql injection etc.). Genoeg mogelijkheden en de grap is dat het zelflerend is en je dus niet met je standaard scriptkiddie hacks bij iedereen naar binnen fietst (ene bedrijf wel de andere niet op basis van wat normaal verkeer is).

Ik zie een grote toekomst voor dit soort systemen naar pure firewalls.

+1 breezie
@TheNephilim • 1 juli 2010 12:37

volgens mij is het de bedoeling dat zo'n toestel eerst een tijdje in een netwerk wordt geplaatst en enkel maar observeert.

Nadien wanneer de leerfase voldoende is, kan het toestel actief in gebruik genomen worden

iH8
1 juli 2010 12:22

Als ik de steekwoorden uit de sheet op de foto erbij pak dan zie ik niet in wat er nu zo nieuw is. Smoothwall, IPcop, etc kunnen dat al eeuwen. Of zie ik het geniale nu even over het hoofd? Een autodidacte firewall, tsja

Rembert
@iH8 • 1 juli 2010 12:41

Op de site staat:

Kane Box is not based on other tools or technologies. It is not a wrapper or an interface for existing tools.

Ik heb de pdf even doorgekeken op de site en daar staat wel e.e.a. nieuw in. Het systeem is in new lisp geschreven. Da's nou net een taal die ik niet beheers (heb ooit wel wat in lisp gedaan). Maar goed, het is open source en dat vind ik een very big pre.

Zou het closed source zijn, dan zou ik de software al direkt niet vertrouwen: wie weet is die auteur een black hat? Met open source kan eenieder die dat wil het zelf controleren, kan er gezocht worden op backdoors, governmental sniffers enz.

Deze discussie is dik 10 jaar geleden ook gevoerd over Pretty Good Privacy. Ook open source. Maar het zou overgenomen worden door, ik dacht, Symantec en daarmee closed source. Is het dan nog betrouwbaar? Het is niet meer te controleren. Symantec was in die tijd sowieso verdacht omdat ze aangaven Magic Lantern virus infecties (geinjecteerd door overheden / geheime diensten) niet zouden detecteren. Dus hoe zat dat met andere backdoors & afluister oplossingen? De Symantec versie van PGP was dus niet meer controleerbaar door techneuten en daardoor per direkt onbetrouwbaar. GnuPG was de nog wel open variant en die is daardoor als betrouwbaarder te beschouwen (totdat black hats toegang verkrijgen tot de trunk en daar eigen code in injecteren: hoe lang duurt het voordat het wordt ontdekt?)

Anyway, zo op het eerste gezicht heb ik wel vertrouwen in een initiatief als de Kane Box. Er zal daar omheen een behoorlijke community met coders en security experts moeten gaan ontstaan om de Kane Box werkelijk geaccepteerd en vertrouwd te laten worden. En wie weet installeer ik het een keertje op een linux bakkie en schakel ik hem achter mijn adsl modem.

i-chat
@Rembert • 1 juli 2010 16:43

nu heb je het over blackhats en code injecteren,

lees anders eens het verhaal over die OSS ircd (unrealirc)
en wat daar is gebeurt, en bedenk je dan eens hoezeer men daar is gehekeld,

je mag toch aannemen dat men (repo maintainers) hier nota van hebben genomen en meer en vaker zijn gaan checken of dingen nog wel kloppen.

er wordt al heel vaak gebruik gemaakt van SHA1 hashes om broncode te verifieren voor men ze upload, en als de code klopt wordt er nog eens een DIF gedraait met een vorrige release - zodat alle veranderingen worden gecheckt...

bij de release, worden dergelijke codes ook bekend gemaakt en die zullen echt wel af en toe worden gecheckt of alles nog wel klopt... -

doe je dit als maintainer niet dan krijg je unrealircd practijken - maar erg vaak komen die niet voor

+1 1Ago
@iH8 • 1 juli 2010 12:39

Gewoon dat men dit nu "out of the box" aanbiedt. Zonder enige vorm van configuratie werkt dit en is het automatisch lerend. Een soort newbiebox op gebied van security.

SalimRMAF
1 juli 2010 12:09

Goedkope All-In-One oplossing zie ik zo. Open Source dus met de Firmware en stabiliteit moet het ook goed komen.

Zit hier met een 5 jaar oude WRT54G van Linksys...

Rizon
@SalimRMAF • 1 juli 2010 12:35

De klonen van OpenWRT kunnen ook op modernere systemen geflashed worden hoor, dus je moet niet bij oude routers blijven als dat de reden is.
Zelf al overgeschakeld op een Linksys 610N met DD-WRT ipv die goeie ouwe WRT54GL.

Dennizz
1 juli 2010 12:50

Hmm er is een reden dat bedrijven zoveel geld uitgeven aan commercieele oplossingen. Veel van die waarde zit hem in een support channel en gegarandeerde response times. Ik zie dit dus niet als concurrentie van de grote FW vendors. Het is wellicht wel een leuk alternatief op low end fw producten en thuisrouters voor de prive personen die erg veel waarde hechten aan hun security.

Overigens geeft de slide op de picture wel aan dat zijn presentatie niet echt doordacht is opgebouwd

+1 Het.Draakje
@Dennizz • 1 juli 2010 13:26

Grote bedrijven hebben inderdaad geld genoeg voor de commerciele oplossingen. Maar het overgrote gedeelte (800.000 MKB bedrijven in Nederland) heeft dat niet en heeft daarom ook geen dure firewall.

Dit kastje kan daarom ook voor de meeste bedrijven een serieuze optie zijn.

+1 Scraxxy
1 juli 2010 13:01

Mooi alternatief wat betreft prijs/kwaliteit

Ben alleen bang dat men niet door de opensource code gaat struinen op zoek naar fouten om deze vervolgens te verbeteren.
Meestal komen fouten aan het licht door daadwerkelijke hack pogingen.

+1 falconhunter
@Scraxxy • 1 juli 2010 13:13

Een bedrijf wil zekerheid en de kosten zijn maar van betrekkelijk belang. Als mijn bedrijfssystemen gehacked worden weet ik met ik praten kan en ik weet dat de firma met zie ik zaken doe genoeg geld heeft om de schade te betalen. De contracten die ik hierover heb zijn redelijk duidelijk. Zij garanderen hun producten. Als me dat 100k per jaar kost zal me dat worst zijn.

Semi professioneel, middenstand etc... prima, maar concurentie met producten die in de top end zitten komt door contracten en niet door hardware/software.

+1 1Ago
1 juli 2010 12:12

Het is een OS/applicatie en een hardwarebox. Sweet.
Goed dat de software free is en voor de box je waarschijnlijk enkel de hardware moet betalen.

addefinnr
@1Ago • 1 juli 2010 12:52

Inderdaad, een ouwe pc volstaat. Uit het artikel:

Bovendien hoeft er geen kastje bij Flowers te worden aangeschaft. Elk systeem met twee netwerkkaarten en eventueel een draadloze interface zou geschikt zijn.

+1 Jorvs
1 juli 2010 12:34

@ Geertje: Ik denk dat je een verkeerd idee hebt bij de term "hacker" maar laten we die discussie hier niet nogmaals voor de duizendste keer op tweakers.net houden.

OT: Als de software opensource lijkt het me voor kwaadwillende niet bijzonder moeilijk een "slecht" pakketje te spoofen naar een goed pakketje, als dit mogelijk is dan denk ik niet dat dit project kans van slagen heeft.

Ook zal er een behoorlijke community moeten zijn die zich dagelijks bezighoud met bugtracking en updating.

+1 XBL
1 juli 2010 12:39

Waarom zou je dit willen? Je hebt dan totaal geen zicht op wat er wel en niet geblokkeerd wordt.

Nee, geef mij maar een firewall die standaard alles blokkeert en vervolgens hier-en-daar een gat heeft om bepaalde zaken door te laten.

0 moozzuzz
@XBL • 1 juli 2010 16:12

Wie zegt dat dit niet zo is?

+1 uid0
1 juli 2010 12:40

Ik vind het een leuk idee, maar ik ga me er voorlopig niet aan wagen. Toen de Bayesian spamfilters net op de markt kwamen, zag je dat spammers hun mail aanpasen en zelfs die filters gingen trainen.

Zouden deze dingen mainstream worden, dan gaat het verschil tussen bonafide en malafide verkeer weggewerkt worden, en zou goed verborgen verkeer extra makkelijk door kunnen komen. Wie zegt immers dat die encrypted stream over je bittorrent+ssl poort ook echt bittorrent-data is.

1 2 3 Volgende

Op dit item kan niet meer gereageerd worden.

Cookies op Tweakers

Hacker presenteert goedkope netwerkbeveiliging

Lees meer over

Nieuwste IT Banen

LOI ICT Opleidingen

Gerelateerde content

Sorteer op:

Weergave:

Reacties (105)