Beheer

Security

Black Hat: Niets is meer veilig

21 maart 2013

Een groot aantal veel gebruikte zogeheten security appliances blijkt zelf onveilig. Dat constateerde Ben Williams, penetratietester bij NCC Group en jarenlang werkzaam bij een producent van dergelijke beveiligingsapparaten. “Het is ironisch dat ook die producten makkelijk te hacken zijn. Ze zijn slecht geconfigureerd en draaien op oude, bijna niet onderhouden versies van Linux.” Hij onderzocht onder meer firewalls en gateways voor e-mail- en webverkeer van Barracuda, McAfee, Citrix, Symantec, Proofpoint, Sophos en F-Secure. “Een hacker is gelijk binnen met zulke firewalls, gateways en UTM-systemen.”

De apparaten waren niet bestand tegen ‘brute force’-aanvallen om de wachtwoorden te kraken. Een eenvoudige tool hiervoor, die 500 wachtwoorden per minuut uitprobeert, had het in een kwartiertje voor elkaar. “Het was makkelijk, want de gebruikersnaam is vaak al bekend, het wachtwoord heeft vaak maar vier karakters en er is zelden een beveiliging tegen brute force-aanvallen”, aldus Willams. Ook bleken de apparaten kwetsbaar voor cross- site scripting en Denial of Service-aanvallen.

De response van leveranciers als Williams de lekken bij hen meldde, was zeer uiteenlopend. Hij is bijvoorbeeld zeer tevreden over McAfee en Websense. Maar Trend Micro, waar hij in april een melding deed van lekken in de e-mail appliance 8.20.x, heeft daar nog niets aan gedaan. “Gebruik maar work-arounds, zeggen ze dan.”

Volgens Williams kunnen producenten het aantal lekken fors terugbrengen door goed softwareonderhoud, het hanteren van Secure Development Lifecycles en veel beter testen. En wat moet de gebruiker in de tussentijd doen? “Stel de User Interface niet bloot aan internet. Zet het uit of filter het. Gebruik ook een andere browser voor beheer dan voor internetgebruik. En sluit de interfaces zoveel mogelijk af. Daardoor kan een NOC er direct in en onregelmatigheden beter monitoren.”

Kritieke infrastructuren

Tijdens de conferentie werd ook duidelijk dat computercriminelen zich zeker niet bij het stelen van data of geld houden; ook kritieke infrastructuren krijgen het te verduren. Kyle Wilhoit, onderzoeker bij Trend Micro, toonde dit aan met een honeypot. Die bestond uit een nagemaakt controlesysteem voor een niet-bestaande waterpomp. Er werd binnen vier maanden twaalf keer geprobeerd de waterpomp af te sluiten en vijf keer om de processen eromheen te wijzigen. Al die pogingen zouden succes hebben gehad als het om een echte pomp was gegaan. In het ICS zaten de fouten die bij veel energie- en waterbedrijven voorkomen: kwetsbare web-frontends en slecht geconfigureerde computers. Wilhoit waarschuwt dat er zo min mogelijk stukjes van kritieke infrastructuren op internet vindbaar moeten zijn, want hackers jagen daar wel degelijk op.

Maar honeypots kunnen ook gebruikt worden om juist op de hackers te jagen, liet Alexey Sintsov, beveiligingsexpert bij Nokia, zien. Hij lokte zo hackers om zich in te schrijven voor de Defcon-conferentie in Rusland. Voor toegang tot deze webportal was een ‘uitnodigingscode’ nodig. Daarbinnen wachtte een ‘rogue’ Java-applet om gedownload te worden. Met de gegevens over de aanvallers die zo verzameld werden kon hij meer over de hackers te weten komen. Vervolgens viel hij de hackers aan, door in de software die zij gebruikten lekken op te zoeken en te misbruiken.

Verleidelijk, zo’n wraakoefening, maar een jurist raadde tijdens de conferentie toch aan de legale weg te bewandelen. Want hiermee overschrijdt het hackende slachtoffer wel de grens tussen legaal en illegaal.

 
Lees het hele artikel
Je kunt dit artikel lezen nadat je bent ingelogd. Ben je nieuw bij AG Connect, registreer je dan gratis!

Registreren

  • Direct toegang tot AGConnect.nl
  • Dagelijks een AGConnect nieuwsbrief
  • 30 dagen onbeperkte toegang tot AGConnect.nl

Ben je abonnee, maar heb je nog geen account? Laat de klantenservice je terugbellen!