'Veel beveiligingsappliances zijn onveilig'

Veel security-appliances, kant-en-klare apparaten met daarop beveiligingssoftware, zijn onveilig, ontdekte een beveiligingsonderzoeker. Tachtig procent van de geteste producten, onder andere van Sophos, Symantec en Trend Micro, was relatief eenvoudig te kraken.

Fabrikanten van dergelijke appliances bieden hun producten vaak aan als apparaten met sterk beveiligde Linux-installaties, maar daar is weinig van waar, zo zei beveiligingsonderzoeker Ben Williams op Black Hat Europe tegenover Computerworld. In veel gevallen waren het slecht geconfigureerde Linux-installaties met verouderde kernelversies, en onnodige en verouderde software. De meeste appliances bevatten bovendien slecht beveiligde webinterfaces.

Tachtig procent van de appliances die Williams onder de loep nam, was relatief eenvoudig te kraken. Tijdens zijn presentatie op Black Hat toonde Williams bewijzen van kwetsbaarheden in producten van Sophos, Symantec en Trend Micro. De meeste webinterfaces hadden geen ingebouwde bescherming tegen het kraken van wachtwoorden met brute kracht, door grote hoeveelheden wachtwoorden in te voeren.

Ook bevatten de webinterfaces regelrechte bugs, zoals cross site scripting-bugs die het mogelijk maakten om sessies te kapen. Zo kan bij sommige e-mail-appliances een e-mail worden geprepareerd met code die zichzelf uitvoert zodra de beheerder de e-mail opent, bijvoorbeeld als die wordt gemarkeerd als spam.

Vaak was ook cross site request forgery mogelijk. Csrf maakt het mogelijk om vanaf de ene website commando's uit te voeren op de andere website. Een eventuele aanvaller zou een beheerder van een appliance ertoe kunnen verleiden om een speciaal geprepareerde website te bezoeken, die vervolgens via de url een commando uitvoert op de appliance.

De onderzoeker tekent verder aan dat de helft van het onderzochte materieel de webinterface vanaf het openbare internet toegankelijk maakte, wat het veel kwetsbaarder voor aanvallen maakt. Hij denkt niet dat de kwetsbaarheden massaal worden misbruikt, maar voor doelgerichte aanvallen op bepaalde organisaties zouden ze goed van pas kunnen komen.

Door Joost Schellevis

Redacteur

Feedback • 15-03-2013 11:3117

15-03-2013 • 11:31

17 Linkedin

Lees meer

Microsoft beloont onderzoeker met 13.000 dollar voor ernstig authenticatielek Nieuws van 4 april 2016
Symantec wil data gebruikers delen met andere beveiligingsbedrijven Nieuws van 29 oktober 2013
'Oost-Europese criminelen kraken Amerikaanse betaalautomaten' Nieuws van 28 maart 2013
'Twintig internetproviders zijn verantwoordelijk voor helft spam' Nieuws van 15 maart 2013
'Positiebepaling mobieltje via gsm-masten is beveiligingsrisico' Nieuws van 28 juli 2012
Hackers breken in bij provider ZeelandNet Nieuws van 27 juli 2012
Windows, FreeBSD en Xen hadden zes jaar oud beveiligingsprobleem Nieuws van 27 juli 2012
Wipe-functionaliteit Exchange kan worden misbruikt Nieuws van 27 juli 2012
Gadget-functionaliteit in Windows 7 kan onveilig zijn Nieuws van 26 juli 2012
Apple: beveiliging moet onderdeel van architectuur zijn Nieuws van 26 juli 2012
'Firewalls voor webservers zijn makkelijk te omzeilen' Nieuws van 26 juli 2012
'Pinapparaat te hacken via nep-pinpas' Nieuws van 26 juli 2012
Meer producten en artikelen
Netwerk en systeembeheer

Reacties (17)

-Moderatie-faq
17
16
14
5
1
1
Wijzig sortering
Anoniem: 505261
15 maart 2013 12:45
Ik zou beveiliging liever op een heel ander niveau aan willen pakken. Het probleem met de hedendaagse software is dat het gewoon *veel te veel* is. De linux kernel bestaat tegenwoordig uit 15 miljoen regels code. De apache webserver 1.5 mln. Hoe debug je dit?

Het liefst zou ik, heel erg simplistisch, 2 executables (zonder shared libs) willen zien: de kernel en de webserver. De kernel zorgt voor de functionaliteit van het apparaat en de webserver voor de input/output. Voor wat betreft de webserver, dit is heel goed mogelijk. Zie bv http://golang.org

quote:
"There are two ways of constructing a software design: One way is to make it so simple that there are obviously no deficiencies and the other way is to make it so complicated that there are no obvious deficiencies."
-- C.A.R. Hoare, The 1980 ACM Turing Award Lecture

[Reactie gewijzigd door Anoniem: 505261 op 15 maart 2013 12:56]

Niemand_Anders
@Anoniem: 50526115 maart 2013 13:11
Debuggen? Er is zoveel mis met de apparaten zelf (toegankelijk vanaf internet, web interface standaard ingeschakeld, etc) dat het debuggen van 'vanilla' componenten zoals een bekende webserver of kernel een van de laatste zaken is waar je je druk om hoeft te maken.

De Linux kernel wordt op miljoenen apparaten en machines gebruikt, eveneens webservers zoals lighttpd of apache. De meeste problemen worden niet veroorzaakt door fouten in de code, maar door fouten in de configuratie.. en dat ondervang je bijna nooit met debuggen..

Beveiligings apparaten kunnen NOOIT gebruiksvriendelijk zijn. Want zodra je iets gemakkelijk kan stopt men met nadenken waar men mee bezig is.

Als je bijvoorbeeld eerst de https web interface (http mag gewoon niet op een router of firewall) moet inschakelen via ssh wordt je gedwongen om na te denken of je wel wilt dat de web interface beschikbaar is. Beheer interfaces mogen natuurlijk nooit op afstand te benaderen zijn. Dat is een security no-go. Wil je op afstand bij je servers kunnen, dan moet je zorgen voor een IPSEC VPN verbinding. En over die verbinding kun je dan het apparaat of machine benaderen..

Als je als gebruiker geen verstand hebt van beveiliging, dan kun je deze ook niet instellen. Apparaten moeten standaard dus volledig dicht staan en bij elke actie welke impact heeft dient duidelijk te staan wat eventuele gevolgen kunnen zijn van die aktie.

Maar ja, het is nou eenmaal niet gebruiksvriendelijk als een eindgebruiker eerst putty moet downloaden om de webinterface van zijn router te activeren. Maar het is wel een stuk veiliger..
Niemand_Anders
@033expert15 maart 2013 17:33
Putty is denk ik de bekendste SSH client voor Windows. SSH is een beveiligde telnet sessie.

Debuggen van software heeft alleen zin als je weet dat het probleem in de software zit.
Firewalls, routers en andere infrastructuur servers worden zelden gehackt door bugs in de software, maar vrijwel altijd door configuratie fouten.

Beveiliging is niet simpel. De belangrijkste tool voor beveiligers is common sense. Dus begin je om de beheer toegang tot een minimum te beperken en zet je extern verkeer uit in het geval van een router. Hoeveel kant en klare producten (inclusief grote namen zoals Cisco en Juniper) ken jij die dat standaard doen?

Weleens naar een standaard iptables firewall script gekeken? Die beginnen allemaal met een drop op de input chain voor extern verkeer.

Ik heb inmiddels zeer veel WiFi access point producten gezien. Geen enkel AP heeft als default policy dat de beheer interface alleen via een bedraad netwerk toegankelijk is.

Beveiliging is de kunst om zo min mogelijk toe te staan. Als je het artikel leest zeggen dat onderzoekers ook niet dat de apparaten slecht zijn, ze zeggen alleen dat de configuratie super slecht is. Web interface bereikbaar vanaf internet, ongelimiteerd aantal password attempts zonder afkoel periode (bijv. max 5 pogingen vanaf een enkel ip per 10 minuten en anders 24 uur blokkade), CSRF op post elementen, etc.

Met andere woorden: als je de web interface standaard uitzet zijn de apparaten WEL veilig..
Garyu
@Anoniem: 50526115 maart 2013 13:16
Tsja, dat zou misschien in principe wel goed zijn, maar feit is dat het eisenpakket anders is. Er zijn bergen features die door een (kleiner of groter) deel van de gebruikers als onontbeerlijk gezien worden. Deze "moet" je aanbieden, nu kan je alles extra erbij gaan compileren zodat iedereen een eigen minimale installatie krijgt, maar je totale code base wordt er niet kleiner van. Dus wat is het nut dan?

Dat je een kleine basis zou willen hebben is leuk, maar het is gewoon Realitätsverweigerung.
Anoniem: 505261
@Garyu15 maart 2013 13:42
We hebben het toch over beveiligingssoftware? Waarom zou dit 1001 features moeten bevatten? Maar het is een mind-setting. De markt vraagt er nu eenmaal om.
Eagle Creek
15 maart 2013 11:41
Op zich verbaast het me weinig. Men heeft de indruk dat security = security.

Echter.. de ontwikkelaar van een stuk software (dat uiteindelijk opgeleverd wordt in een apparaat) dat bestemd is voor het beheren van antivirusdefinities in een netwerk, of voor inbraakdetectie, hoeft zelf (in theorie) helemaal geen kaas gegeten te hebben van veilig programmeren. Handig? Nee! Mogelijk in de praktijk: natuurlijk! Al was het maar omdat veel producten die door de grote jongens (Symantecs, Trend Micro's, etc) op de markt worden gezet dikwijls door andere bedrijven zijn geproduceerd. Dan wel in opdracht, dan wel voordat ze opgekocht werden. Vaak gaat hier een eigen sausje (lees: interface met logo) overheen en het product is klaar om verkocht te worden.

Natuurlijk stikt het hier van de ironie en zouden bedrijven die pretenderen security solutions te verkopen in hun diepste worstels van security doordrenkt moeten zijn maar het is geen automatisme. Veilig programmeren is een vak apart. Of een zijstraat: veilige logistiek is een vak apart. Neem bijvoorbeeld appliances die gebruikt worden voor hardwarematige encryptie -> als zo'n ding tussen de productiefabriek en de installatie bij de klant "compromised" raakt dan zijn alle sleutels die erin opgeslagen worden, niets meer waard. Maar veilig transport staat volledig los van het op een veilige manier programmeren van de software die erin staat.

Ook security is gewoon business voor deze bedrijven, geen "way of life".

Edit Misschien nog een interessant concreet voorbeeld. Onlangs vernam ik van een bedrijf dat systemen aanbiedt voor het beheer van websites (CMS). Het betreffende CMS bevat ook koppelingen met "gevoelige modules" (denk hierbij aan een iDeal / DigID / etc). De beheerinterface ontbeerde volledig de mogelijkheid om wachtwoordpolicies (zoals duur en complexiteit) toe te passen. Met welke reden was dit? Omdat het geen noodzakelijke basisfunctionaliteit betrof ten tijde van het originele ontwerp (jaren terug) en het inbouwen ervan op een later moment geld kost. En als bij een commercieel bedrijf een feature geld kost dan moet dit terugverdiend worden, bv d.m.v. doorberekening aan de eindklant. En dan is de vraag: wie gaat het dan betalen? Bestaande klanten nafactureren? Gratis opnemen in een update en het uit eigen zak betalen? Nieuwe klanten een hoger tarief voorschotelen? Zolang dat vraagstuk niet duidelijk is en security niet expliciet onderdeel is van de bedrijfsfilosofie (zoals MVO dat zou kunnen zijn), blijft de functie ontbreken.

Hetgeen dat denk ik hier ook uit naar voren komt is niet zozeer dat "de beveiliging" beter moet maar dat dergelijke bedrijven moeten denken aan imago en gezichtsverlies. Immers: als security vendor kan je dit toch eigenlijk niet uitleggen aan je klanten?

[Reactie gewijzigd door Eagle Creek op 15 maart 2013 12:33]

jobvr
@Eagle Creek15 maart 2013 11:58
+2 Op deze manier gooien ze hun naam te grabbel, en als je je goede naam kwijt bent, krijg je hem niet makkenlijk meer terug. En het enige wat deze bedrijven hebben is hun imago, als ze dat kwijt zijn hebben ze bijna niets meer..

Zie: Diginotar en AVG
PoweRoy
@jobvr15 maart 2013 12:09
Wat is er met de reputatie van AVG? Diginotar was van certificaten.
Maar AVG heb ik gemist?
nst6ldr
@PoweRoy15 maart 2013 12:21
Twee keer hebben ze aangetoond hun updates niet te testen, tevens hebben ze onbedoeld het nieuws gehaald met hun WP app.
sleezball
@nst6ldr15 maart 2013 13:02
[offtopic]
AVG heb ik inmiddels in de ban gedaan om de vele false positives die ik ermee heb ervaren, nog naast de inderdaad slechte ervaringen met de updates die complete systemen liet crashen / bevriezen / etcetera.

Omdat het veelal stond op de computers die ik mag onderhouden voor mensen die het doorgaans al spaans benauwd krijgen bij de melding 'Updates beschikbaar' en dus minder tot geen enkele sjoege hebben van dit soort zaken en om het op te lossen ben ik over gegaan op een andere, ook gratis beschikbare virus scanner.

[ontopic]
Het probleem is met de apparaten die als 'stand-alone' beveiliging door moeten gaan inderdaad vaak over geslagen worden wat updates en firmwares betreft, zij het door de gebruiker maar kwalijker nog, door de leverancier / fabrikant.

[Reactie gewijzigd door sleezball op 15 maart 2013 13:05]

Seal64
@PoweRoy15 maart 2013 12:14
Die hebben inmiddels inderdaad de reputatie dat ze net iets te vaak kritieke systeembestanden in quarantaine gooien, zodat je systeem niet meer opstart. Dat gebeurt iedereen wel eens, maar AVG heeft het al een paar keer gedaan en dat kost je inderdaad punten.
dukejunior
15 maart 2013 11:42
Veel zal natuurlijk afhangen van hoe je met zo'n product om gaat. Standaard zal zo'n product 'gebruiksvriendelijk' ingesteld zijn. Afhankelijk van de mogelijkheden die het product heeft en hoe je hem kunt configureren, zullen deze applicaties wel wat veiliger worden als hierboven gesteld wordt.

Een van de eerste dingen die je iig moet doen is 'de laatste versie' van firmware/software downloaden.

[Reactie gewijzigd door dukejunior op 15 maart 2013 11:43]

Squ1zZy
@dukejunior15 maart 2013 11:48
De appliances staan vaak op de voorgrond. Dat er geen beveiliging inzit voor het tegen gaan van aan brute-force is dan wel kwalijk.

De makers van de appliances kunnen meer doen dan "gebruiksvriendelijk" instellen. Denk aan het forceren van een moeilijk wachtwoord bij eerst opstart van de appliances. Vooral met security appliances vind ik dat de fabrikanten de security hoog moeten instellen en niet gebruiksvriendelijk.

Hier de whitepaper van Ben Williams:
http://www.nccgroup.com/m...aper_ben_williams_1.1.pdf
rolandverh
15 maart 2013 12:52
Voor bedrijven is het hebben van een appliance een goede zaak. Maar er is een keerzijde. Gebruikers gaan er vervolgens van uit dat 'lekker veilig' zijn en veronachtzamen vervolgens allerlei belangrijke zaken als patch management, updates en 'awareness'. Vooral dat laatste is gevaarlijk, want niet iedereen begrijpt de risico's van handelingen in relatie tot de geboden beveilging.
Soms wordt aangenomen dat het hele netwerk veilig is, terwijl alleen de firewall (= beveiliging) het verkeer van buiten in de gaten houdt.
Mijn stelling; een appliance is op die manier een gevaar, want we wanen ons veilig en doen daardoor onveilig.
Anoniem: 356920
15 maart 2013 12:49
Men denk eerst aan de centen, en de veiligheid dat kunnen nog weleens bespreken.
Ondertussen draait het systeem in de soep, dank u wel hoor.
PcDealer
16 maart 2013 14:02
Hier wordt de indruk gewekt dat het hardware betreft. Sophos heeft Astaro overgenomen, een fabrikant van UTM's, dat is inderdaad hardware. Trend Micro echter heeft v.z.i.w. geen hardware, maar had wel software appliances (zoals de geteste IMSS, tegenwoordig alleen virtuele appliances die direct op de ESX-laag worden geïnstalleerd.

Het rapport staat hier: http://www.nccgroup.com/m...aper_ben_williams_1.1.pdf

[Reactie gewijzigd door PcDealer op 16 maart 2013 14:05]

Op dit item kan niet meer gereageerd worden.

Tweakers maakt gebruik van cookies

Tweakers plaatst functionele en analytische cookies voor het functioneren van de website en het verbeteren van de website-ervaring. Deze cookies zijn noodzakelijk. Om op Tweakers relevantere advertenties te tonen en om ingesloten content van derden te tonen (bijvoorbeeld video's), vragen we je toestemming. Via ingesloten content kunnen derde partijen diensten leveren en verbeteren, bezoekersstatistieken bijhouden, gepersonaliseerde content tonen, gerichte advertenties tonen en gebruikersprofielen opbouwen. Hiervoor worden apparaatgegevens, IP-adres, geolocatie en surfgedrag vastgelegd.

Meer informatie vind je in ons cookiebeleid.

Sluiten

Toestemming beheren

Hieronder kun je per doeleinde of partij toestemming geven of intrekken. Meer informatie vind je in ons cookiebeleid.

Functioneel en analytisch

Deze cookies zijn noodzakelijk voor het functioneren van de website en het verbeteren van de website-ervaring. Klik op het informatie-icoon voor meer informatie. Meer details

janee

    Relevantere advertenties

    Dit beperkt het aantal keer dat dezelfde advertentie getoond wordt (frequency capping) en maakt het mogelijk om binnen Tweakers contextuele advertenties te tonen op basis van pagina's die je hebt bezocht. Meer details

    Tweakers genereert een willekeurige unieke code als identifier. Deze data wordt niet gedeeld met adverteerders of andere derde partijen en je kunt niet buiten Tweakers gevolgd worden. Indien je bent ingelogd, wordt deze identifier gekoppeld aan je account. Indien je niet bent ingelogd, wordt deze identifier gekoppeld aan je sessie die maximaal 4 maanden actief blijft. Je kunt deze toestemming te allen tijde intrekken.

    Ingesloten content van derden

    Deze cookies kunnen door derde partijen geplaatst worden via ingesloten content. Klik op het informatie-icoon voor meer informatie over de verwerkingsdoeleinden. Meer details

    janee