Aanvallers Sony gebruikten wachtwoord systeembeheerder
De aanvallers die op het netwerk van Sony wisten in te breken gebruikten het gestolen wachtwoord van een systeembeheerder, zo beweren Amerikaanse onderzoekers aan de hand van gevonden bewijs. Via het wachtwoord hadden de aanvallers toegang tot het gehele Sony-netwerk.
De ontdekking is één van de redenen waarom de onderzoekers niet denken dat de aanval op Sony is uitgevoerd met hulp van een werknemer, zo laten functionarissen tegenover CNN weten. De Amerikaanse autoriteiten hebben de aanval inmiddels tot een zaak van nationale veiligheid verklaard. Volgens CNN zal Washington mogelijk vandaag Noord-Korea als schuldige achter de aanval aanwijzen.
Beveiligingsexpert Jeffrey Carr stelt dat de VS eerst bewijs moet leveren voordat kan worden aangenomen dat Noord-Korea daadwerkelijk achter de aanval zit. Zelf heeft hij hier grote twijfels over. "Mijn advies aan journalisten, directeuren, beleidsmakers en het publiek is om over alles te twijfelen wat je hoort over het toekennen van cyberaanvallen. Eis concreet bewijs en geen mogelijke indicatoren die niet kunnen worden gecontroleerd."
Ook Kim Zetter van Wired publiceerde een uitgebreid artikel waarom het bewijs tegen Noord-Korea flinterdun is. Ook zou de film "The Interview" geen aanleiding voor de aanval zijn geweest. Zo werd de film tijdens de eerste aankondiging door de aanvallers niet genoemd. Ook het feit dat de malware op een computer met een Koreaanse taalinstelling is gecompileerd wil nog niets zeggen. Zetter schetst dan ook twee scenario's wie erachter de aanval zit. Mogelijk is het een groep van mensen die net als Anonymous opereren, of er waren meerdere groepen met verschillende motieven die toegang tot het Sony-netwerk hadden.
Tja, als iemand bij ons in de organisatie de domain admin account weet te kapen hebben wij ook een serieus probleem. Zijn er uberhaubt manieren om dit te mitigeren?
Ja hoor. Two factor bijvoorbeeld. Of toegang alleen toestaan vanuit een bepaalde subset aan ip adressen. Of toegang koppelen aan andere toegang verlenende systemen zoals paslezers voor fysieke toegang.
Manieren te over. Alleen is het wel zo dat hoe moeilijker je het maakt, het op een gegeven moment ten koste gaat van de flexibiliteit van de organisatie.
Een goede keuze in maken tussen commercie, techniek en security is een kunst op zich.
Deze oplossingen slaan de userid's en passwords op in een digitale kluis, zorgen ervoor dat de wachtwoorden automatisch gewijzigd worden (dat kan zelfs na iedere keer dat ze gebruikt zijn) en kunnen acteren als een soort proxy, waardoor de medewerkers die deze accounts gebruiken de passwords niet eens hoeven te weten. Uiteraard kun je zo'n oplossing dan ook nog combineren met 2-factor authenticatie.
Bovendien kunnen dan alle activiteiten die een gebruiker uitvoert met een admin-account gelogd worden (denk aan keyboard logging, screen capture, etc), zodat activiteiten altijd terug gerelateerd kunnen worden aan een gebruiker, en er altijd een volledige audit trail is van admin activiteiten (zonder te hoeven vertrouwen op een OS/DB log die de admin met zijn rechten kan manipuleren)
Ja hoor. Two factor bijvoorbeeld. Of toegang alleen toestaan vanuit een bepaalde subset aan ip adressen. Of toegang koppelen aan andere toegang verlenende systemen zoals paslezers voor fysieke toegang.
Manieren te over. Alleen is het wel zo dat hoe moeilijker je het maakt, het op een gegeven moment ten koste gaat van de flexibiliteit van de organisatie.
Een goede keuze in maken tussen commercie, techniek en security is een kunst op zich.
Of de Aloude truuk met het in 2en delen van het domain admin account. Piet 1 deel van het WW en Klaas het andere deel. Daarnaast nooit onder je eigen admin account werken maar onder een normale user doet ook al wonderen
Dus ik steel de 2 factor dinges van een medewerker, of ben die medewerker, vervolgens gok ik het adminwachtwoord/copypaste die uit de porno-site waar hij een same password account heeft, en RDP rechtstreeks naar de domain controller. Knappe SIEM oplossing die dat doorheeft. Daar maak ik een paar extra domain admins aan of enable een disablede uit dienst admin, en gas erop.
en hoe kom je aan een admin wachtwoord? koop een 50,- usb keylogger, installer die op je eigen werk-pc, en bel een admin dat er iets is dat hij alleen lokaal kan oplossen. of restore een serverbackup die men ergens heeft laten slingeren, lees de oude wachtwoorden uit, en als een daarvan Zomer12 is, dan zal het huidige wachtwoord wel Zomer 13 of 14 zijn.
Ik las ergens dat ze daar nog pc's gebruiken in plaats van thin clients. Steel zo'n pc, lees local admin uit, en probeer daarmee in te loggen vanaf die pc op alle 30.000 andere lokale pc's. lokale software keylogger installeren...
Dit probleem wordt minder groot als je vlanning, firewalling/logging SIEM, en een setje niet-overwerkte systeembeheerders hebt die niet vies zijn van het ingelogd zijn als gewone gebruiker in plaats van altijd in te loggen als domain admin.
Two-factor werkt op veel meer locaties.
De SIEM zal zien dat je vanaf een onbekende machine komt i.p.v. de machine van de beheerder. Hier moet je trouwens eerst via een terminalserver voordat je via RDP (of SSH of zo) bij een server kunt komen.
Een admin met een wachtwoord voor een werkplek heeft geen wachtwoord voor een server. Ik kan me, zelfs bij Microsoft niet, iets bedenken waarbij je als admin op een werkplek moet inloggen om iets op de server te kunnen herstellen.
Als men een dergelijke backup laat slingeren, dan laten ze wel meer slingeren. Dan heb jehet wachtwoord niet nodig, want alles staat al op die backup.
Zelfs onder Windows is het tegenwoordig heel eenvoudig om als gebruiker op je eigen werkplek ingelogd te zijn en voor de server een heel ander account en wachtwoord te hebben.
Peter
Groot gelijk, ik zei echter hel subtiel: "Knappe SIEM oplossing die dat doorheeft." Ik denk dat een echte SIEM oplossing dit wel had kunnen voorkomen, of op zijn minst detecteren/alarmeren, maar SIEM op een plat netwerk is als een non op een gemengde school; leuk dat je alles in de gaten houd, maar een hek is toch gemakkelijker.
Daarnaast is SIEM vrij nutteloos als je een week na de meesterhack moet vaststellen dat het alarmeringsSMSje niet is uitgestuurd om dat het SMS tegoed van de SIEM-SIM op was. of de systeembeheerder ziek of al 2 jaar uit dienst. of de boef.
Veel bedrijven geven een godsvermogen uit om beschermingsmiddelen te hebben, maar vergeten dat het om het doel gaat, en niet de middelen.
Als je 500.000.000,- uitgeeft om je data te beveiligen, maar een admin wel de mogelijkheid geeft deze te copy-pasten, dan kan een mailtje met een foto van zijn kids op het schoolplein voldoende zijn om je half miljard door het toilet te spoelen.
Beter kun je een aparte groep werkstation admins maken in je domein, deze groep tijdens installatie van de werkstations
toevoegen aan de locale Admininistrators groep op het werkstation (kan simpel bij een automated install) en dan zet je
in die groep een of meer werkstation admin accounts die je gebruikt om werkstations te installeren enz.
Tevens maak je in group policy een regel aan die voorkomt dat de domain administrator inlogt op een werkstation.
Daarmee voorkom je dat gecachte credentials op allerlei werkstations terecht komen, en dat domain admins in de
verleiding komen om op een werkstation in te loggen met dat account.
Gewoon een best practice.
Dat half miljard was toch voor een vriendje dat geld moest toch al ergens heen. Waarom er verder moeilijk over doen.
En aangezien er zo veel geld aan uitgegeven is ben ik als manager er niet meer aansprakelijk voor als het mis gaat.
Het persoonlijkje hachje is veilig, het vriendje heeft zijn geld. Jammer van die bijkomende schade voor het bedrijf maar dat is toch maar het bedrijf niet echt relevant zolang ze maar blijven bestaan om geld van te krijgen.
hoeveel managers zouden er zo in steken?
Deze posting is gelocked. Reageren is niet meer mogelijk.
Toezichthouder informatiebeveiliging Overheid
Rijksinspectie Digitale Infrastructuur (RDI)
Vind je het leuk om als toezichthouder bij te dragen aan de verdere groei in informatie-beveiliging van de overheid en in contact te staan met (belangen) organisaties binnen de overheid? Dan kun je komen bouwen aan toezicht op een veilige en betrouwbare Digitale Infrastructuur in Nederland.
Adviseur Informatiebeveiliging
Je bent een belangrijke speler om invulling te geven aan de gemeentelijke ambities op het gebied van informatiebeveiliging. Deze ambities neem jij op in het Informatie-beveiligingsbeleid Gemeente Zoetermeer. Wil je helpen bij het verbeteren van de informatiebeveiliging in Zoetermeer en het versterken van het cyberbewustzijn binnen onze organisatie? Wacht dan niet en kom ons team informatiebeveiliging versterken!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.