Security Tip van de week: vertrouwen is goed...
Security.nl lanceert een nieuw onderdeel waar elke week een andere professional, expert, onderzoeker of lezer een security tip geeft. Persoonlijke tips, varierend van het veilig configureren van Windows, een handige security tool of het juist instellen van een firewall, waarmee de tipgever zijn systeem, applicatie of netwerk veiliger maakt.
Heb jij ook een leuke, originele, maar bovenal goede security tip die niet mag ontbreken, stuur dan een mail naar redactie@security.nl.
Deze week de tip van Homme Bitter.
Vertrouwen is goed, controle is beter
Als consultant krijg ik regelmatig te maken met nieuwe omgevingen en systemen. Meestal is het zo dat er iets nieuw moet worden geïmplementeerd, of een grote upgrade gedaan moet worden. Om er voor te zorgen dat zo'n upgrade of implementatie niet mislukt, doe je dan een aantal controles voordat je begint om je plan op te stellen. Als er al een plan is, doe je de controles alsnog, om te kijken of het plan wel klopt.
Naast de gebruikelijke controles of je wel genoeg hardware, netwerkverbinding, storage en dergelijke hebt, kijk ik ook altijd naar hoe de security en continuïteit geregeld is. Is er een risicoanalyse gedaan van het project en van het systeem wat uiteindelijk opgeleverd moet worden? Is er een business impact analyse gedaan? Is er gekeken naar hoe de beveiliging van de gegevens geregeld is en of alles wel aan de wettelijke normen voldoet?
Zijn de back-ups en failovers geregeld? Welke versies van soft- en hardware worden er gebruikt en zit daar wel support op? Vaak missen er dingen en moet je gaan kijken of ze nodig zijn. Dat hoeft niet altijd zo te zijn, maar je moet er wel over nagedacht hebben voordat je ze overslaat.
Wachtwoorden
Als alles op papier in orde lijkt, ben ik meestal zo eigenwijs dat ik zelf ga controleren of de beveiliging ook wel echt in orde is en of de backups ook echt te restoren zijn. Op webapplicaties laat ik de OWASP top 10 los en van software en besturingssystemen controleer ik of de versies wel veilig en ondersteund zijn.
Daarvoor gebruik ik vaak de in het besturingssysteem aanwezige tools die je vertellen welke updates er beschikbaar zijn, maar soms is het ook handmatig versies op gaan zoeken op de website van de fabrikant. Ik laat John the Ripper los op de wachtwoordendatabase van de interne gebruikers en ik controleer of de bewaking zomaar mensen binnenlaat, door een collega uit te nodigen en die niet aan te melden bij de klant. De collega gaat dan proberen om langs de bewaking te komen, dat lukt vaak ook nog.
Ik gebruik voor John the Ripper wachtwoordenlijsten in de taal of talen die bij de klant gesproken worden en als het een heel specifieke klant is, zoek ik ook woordenlijsten die voor dat vakgebied van toepassing zijn. De hoeveelheid meteorologen die "Stratocumulus" als wachtwoord hebben is groot genoeg om dat de moeite waard te maken.
Als het een grote lijst is, gebruik ik de "community edition" van John the Ripper in combinatie met een videokaart die hardware acceleration heeft (OpenCL) zodat ik de videochip als coprocessor kan gebruiken voor het kraken.
Back-up
Als het enigszins kan, zal ik voordat ik op ga leveren alle servers en storage leeg gooien en volgens de documentatie opnieuw inrichten. Tapes of images vanaf de remote locatie laten komen en daarmee, volgens de documentatie een restore doen. Ik heb zelf m'n back-ups bij vrienden versleuteld op hun NAS staan en zij bij mij, inclusief versies van jaren geleden van alle bestanden die veranderen.
Mijn eigen back-ups controleer ik ook regelmatig of ze nog wel echt te restoren zijn, want mijn foto's en dergelijke ga ik nooit meer terugkrijgen als ze weg zijn. Ik heb voor de setup deze handleiding gebruikt. Zoiets wil je toch voor je klanten ook kunnen garanderen?
Een bedrijf wat aan bedrijfsrecherche doet heeft als slogan "Vertrouwen is goed, controle is beter". Dat gaat ook hier op. Het werkt een stuk rustiger en prettiger aan een migratie of upgrade, als je voor je aan de uitvoering begint zeker weet dat alles wat je nodig hebt om je project succesvol af te ronden is geregeld is. Op zoiets hoor je te kunnen vertrouwen, maar het kan zeker geen kwaad om het toch
te controleren.
Homme Bitter is consultant bij Sogeti en speelt regelmatig mee met hackwedstrijden. Tevens is hij actief op het forum en het Certified Secure IRC-kanaal.
Dit artikel is geschreven op persoonlijke titel van de auteur en reflecteert niet noodzakelijk de zienswijze van Security.NL.
En ook dank aan de gastschrijvers!
MVG,
ITAFG
...
Mijn eigen back-ups controleer ik ook regelmatig of ze nog wel echt te restoren zijn, want mijn foto's en dergelijke ga ik nooit meer terugkrijgen als ze weg zijn. Ik heb voor de setup deze handleiding (http://www.revpol.com/node/140)gebruikt.
Overigens helemaal eens: Mooi initiatief Security.nl!
psssst.. inclusief spelvouten die zijn superleuk en gave interesse filter. keiharde corporate probleemlokalisatie en dus oplossing. geloof je niet he? ROFLOL sneller dan welke sukkel van een management consultant ook, met die checklists *proest*
afgestudeerd of niet, thats the joke.
Dit zou ik eerst even kortsluiten met de gebruikersorganisatie. Bij veel bedrijven mag je dit niet doen, doordat (a) hacktools niet zijn toegestaan op het interne netwerk, ook niet als onderdeel van goedbedoelde tests, (b) een password policy actief is die ervoor zorgt dat accounts na 5 incorrecte logpogingen geblokkeerd zijn, (c) er geen pentest NDA is ondertekend om dit uit te voeren en wachtwoorden van gebruikers mogelijk als privegegevens worden gezien, (d) resultaten in acceptatie (mocht je het daar uitvoeren) weinig zeggen over resultaten in productie.
Daarnaast zou ik wel eens een discussie willen voeren over het nut van een password crack exercitie. We weten allemaal dat wachtwoorden onveilig zijn. Als er geen password policy met afgedwongen complexiteitsregels is gedefinieerd, dan hoef je de test niet uit te voeren, want dan weten we dat de wachtwoorden onveilig zijn. Als complexiteitsregels wel worden afgedwongen, dan weten we nu ook al dat rainbow tables prima middelen zijn om passwords te kraken. Kortom, wat is je precieze doel van deze password test? Ik zou het als organisatie interessanter vinden om duidelijk te krijgen dat alle mitigerende maatregelen (account lockout ingesteld, monitoring van ongeautoriseerde logins aanwezig, correcte afhandeling van detectie danwel false positives, detectie van aanwezigheid van crack tools, geen default username/ password combinaties, geen toegang tot password database door personen anders dan de systeembeheerders etc.) zijn getroffen.
Aanname; hiervoor maak je een kopie van deze database, anders loop je al direct tegen de lamp (logging) en loop je risico operationele verstoringen te creeeren omdat deze accounts gelocked zullen worden.
Als beheerder zal ik alle tot mijn beschikking staande middelen in werking stellen om je asap de deur uit te laten zetten zodra (niet "als") dit wordt gedetecteerd. Dit omvat ook het volledig schonen van iedere media drager en het onderzoeken van alle communicaties ten tijde van deze overtreding. Dit om zo aannemelijk mogelijk te maken dat wachtwoorden het netwerk niet hebben verlaten.
Deze check kan makkelijker (en beter!) worden opgevangen door het beveiligingsbeleid van deze servers op te vragen. In plaats van een point-in-time check heb je dan de garantie dat makkelijke wachtwoorden niet gebruikt kunnen worden. Op deze wijze kan je de gegevens tenminste ook presenteren aan de klant. Hoe wil je zonder repercussies vertellen dat je deze aktie hebt uitgevoerd? Iedereen weet dat ieder wachtwoord gekraakt kan worden.
Met de meeste andere maatregelen die je oppert ben ik het wel eens, maar hiermee werk je jezelf echt verschrikkelijk in de nesten.
je komt er toch niet omheen uiteindelijk. consume your life, fool. and find out why we found out in the first place. ROFL
Waar het mij voornamelijk om gaat is dat dit soort acties deuren open trappen die al wagenwijd open staan. Op Internet zijn de meest uiteenlopende statistieken te vinden van de gevolgen van een slecht wachtwoordbeleid. Daar zal een eigen test weinig tot niets nieuws aan bijdragen. We weten dat sterke wachtwoorden goed zijn. We weten echter ook dat "de werkvloer" nooit akkoord zal gaan met een wachtwoord beleid van minimaal 14 karakters in combinatie met de complexiteitsregels zoals b.v. in Windows worden gehanteerd, doordat de veiligheid dan juist afneemt vanwege het opschrijven van wachtwoorden.
Een password crack actie zou in het uiterste geval nuttig zijn voor managers die de statistieken op Internet niet geloven en graag willen zien (uit onwetendheid, uit nieuwsgierigheid, ...) of het bij hun bedrijf ook zo slecht is. In zo'n geval kan die scan bijdragen aan wat extra security awareness. Iedereen kan op zijn klompen aanvoelen wat het resultaat is als de maatregelen zoals ik hierboven opsomde niet aanwezig zijn: ja, het is zo slecht. Ja, minimaal 80% of meer van de wachtwoorden zijn binnen een paar minuten achterhaald.
Het geldt dus ook voor het voorbeeld dat je geeft over een gevonden laptop waar b.v. een eenvoudig Truecrypt wachtwoord op staat. Dat wachtwoord is dus te kraken. Als dit soort basale kennis niet aanwezig is, dan vraag ik me af wat je als (IT) manager of als (technisch) projectleider op die positie doet. Gezien de organisaties waar Homme veelal met Sogeti komt, kan ik me niet voorstellen dat die kennis daar niet of nauwelijks aanwezig is.
Zou IT zelf niet kunnen helpen? Zou een password manager niet de weg zijn om dit deelprobleem op te lossen? En als de werkvloer met een sterkke oplossing werkt, vind ik nog steeds dat een controle zeker op zijn plaats is en meerwaarde biedt
Bedirjfsgeheimen worden niet zozeer slecht beveiligd door geen password crack actie uit te voeren. We hebben een heleboel mitigerende maatregelen die de risico's kunnen indammen. Ik denk dat IT op dat gebied absoluut een bijdrage kan leveren, maar ook IT is gebonden aan budget restricties. De fancy en veilige oplossingen zijn er, het geld niet, zeker niet in de huidige tijden voor een gebied dat alleen geld kost en niet eenduidig inzichtelijk kan maken wat de harde opbrengsten zijn. Dan zijn eenvoudige mitigerende maatregelen zoals password lockout e.d. een middenweg. Geen ideale middenweg op security gebied, maar iets waar beide kampen, hoewel met enige tegenzin, mee kunnen leven.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Toezichthouder informatiebeveiliging Overheid
Rijksinspectie Digitale Infrastructuur (RDI)
Vind je het leuk om als toezichthouder bij te dragen aan de verdere groei in informatie-beveiliging van de overheid en in contact te staan met (belangen) organisaties binnen de overheid? Dan kun je komen bouwen aan toezicht op een veilige en betrouwbare Digitale Infrastructuur in Nederland.
Adviseur Informatiebeveiliging
Je bent een belangrijke speler om invulling te geven aan de gemeentelijke ambities op het gebied van informatiebeveiliging. Deze ambities neem jij op in het Informatie-beveiligingsbeleid Gemeente Zoetermeer. Wil je helpen bij het verbeteren van de informatiebeveiliging in Zoetermeer en het versterken van het cyberbewustzijn binnen onze organisatie? Wacht dan niet en kom ons team informatiebeveiliging versterken!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.