Spionagegroep kon vpn-wachtwoord van Cisco PIX stelen
Een aan de NSA-gelieerde spionagegroep was in staat om via het internet Cisco PIX-apparaten aan te vallen en vpn-privésleutels te stelen. Dat laat onderzoeker Mustafa Al-Bassam weten die een tool testte die deze week in een datadump van de "Equation Group" online verscheen.
De Cisco PIX (Private Internet eXchange) was een populaire ip-firewall en network address translation (NAT) appliance die sinds 2008 niet meer door Cisco wordt aangeboden en ook niet meer wordt ondersteund. Ook kon het apparaat worden gebruikt voor het opzetten van vpn-verbindingen, zodat werknemers van een organisatie bijvoorbeeld met een bedrijfsnetwerk verbinding konden maken. Maandag verscheen op internet een collectie met allerlei tools en exploits van de Equation Group om allerlei netwerkapparaten mee aan te vallen.
Eén van de tools, met de naam BENIGNCERTAIN, blijkt een exploit voor Cisco PIX-apparaten te zijn. De tool stuurt een Internet Key Exchange (IKE) pakketje naar de PIX-appliance, die daardoor een deel van het geheugen dumpt. De geheugendump kan vervolgens worden uitgelezen om zo de RSA-privésleutel en andere gevoelige configuratiegegevens, zoals vpn-instellingen, te achterhalen. Vanwege deze mogelijkheid heeft Al-Bassam de tool tot Pixpocket omgedoopt. Volgens Bassam heeft de NSA de aanvalstool veel gebruikt, aangezien het allerlei objecten in de geheugendumps van de PIX-apparaten herkent.
In plaats daarvan kies ik er thuis voor om creatieve oplossingen te gebruiken en te vertrouwen op eigen kennis en boerenverstand.
In plaats daarvan kies ik er thuis voor om creatieve oplossingen te gebruiken en te vertrouwen op eigen kennis en boerenverstand.
Waarom zou jou boeren verstand veiliger zijn dan dat van een fabrikant die veel meer geld en tijd kan steken in research naar een veilige oplossing? Een spionagegroep gaat het om het doel en welke middelen een groep moet overwinnen weet je niet. Je weet dan ook niet of je riciso afneemt of juist toeneemt door je eigen oplossing te gebruiken.
Waarom zou jou boeren verstand veiliger zijn dan dat van een fabrikant die veel meer geld en tijd kan steken in research naar een veilige oplossing? Een spionagegroep gaat het om het doel en welke middelen een groep moet overwinnen weet je niet. Je weet dan ook niet of je riciso afneemt of juist toeneemt door je eigen oplossing te gebruiken.
Als je eigen oplossingen gebruikt waarvan de aanvaller niet beschikt over een copie of zelfs de broncode, dan is het
veel lastiger voor hem om lekken te vinden bijvoorbeeld buffer overflows, en daar dan ook daadwerkelijk iets mee te doen wat
beter bruikbare resultaten geeft dan een DOS (bijvoorbeeld de software laten crashen).
Waarom zou jou boeren verstand veiliger zijn dan dat van een fabrikant die veel meer geld en tijd kan steken in research naar een veilige oplossing? Een spionagegroep gaat het om het doel en welke middelen een groep moet overwinnen weet je niet. Je weet dan ook niet of je riciso afneemt of juist toeneemt door je eigen oplossing te gebruiken.
Als je eigen oplossingen gebruikt waarvan de aanvaller niet beschikt over een copie of zelfs de broncode, dan is het
veel lastiger voor hem om lekken te vinden bijvoorbeeld buffer overflows, en daar dan ook daadwerkelijk iets mee te doen wat
beter bruikbare resultaten geeft dan een DOS (bijvoorbeeld de software laten crashen).
Tenzij je iets fysieks doet zoals een kabel verwijderen of een machine niet aan het internet hangt dan maak jij hoe dan ook gebruik van een platform, of dat nu linux is of whatever daarop zal je dan mogelijk een firewall draaien die je naar ik gok ook niet zelf ontworpen hebt. Daarnaast zal je de software draaien op een machine met de nodige chips die je volgens mij ook niet gebakken hebt. kortom er is genoeg materiaal beschikbaar om proberen binnen te komen.
Natuurlijk is het waar dat als je de niet standaard oplossingen gebruikt je het een onwenste bezoeker die een gemakkelijke prooi zoekt mogelijk (even) de deur wijst maar als ze jou op de korrel hebben dan zitten ze gewoon naast je op je computerstoel, zeker als de aanval op het niveau van bijvoorbeeld een NSA vandaan komt of een goede hackersgroep.
Het is net als een iets beter slot op je deur..binnen komen doen ze wel alleen het duurt iets langer.
In plaats daarvan kies ik er thuis voor om creatieve oplossingen te gebruiken en te vertrouwen op eigen kennis en boerenverstand.
"Best practice" is security in depth waarbij je je VPN "service" (IKE, TLS, IPSEC, etc...) enkel voor je gekende VPN peers toegankelijk maakt d.m.v. filtering...
Deze posting is gelocked. Reageren is niet meer mogelijk.
Toezichthouder informatiebeveiliging Overheid
Rijksinspectie Digitale Infrastructuur (RDI)
Vind je het leuk om als toezichthouder bij te dragen aan de verdere groei in informatie-beveiliging van de overheid en in contact te staan met (belangen) organisaties binnen de overheid? Dan kun je komen bouwen aan toezicht op een veilige en betrouwbare Digitale Infrastructuur in Nederland.
Adviseur Informatiebeveiliging
Je bent een belangrijke speler om invulling te geven aan de gemeentelijke ambities op het gebied van informatiebeveiliging. Deze ambities neem jij op in het Informatie-beveiligingsbeleid Gemeente Zoetermeer. Wil je helpen bij het verbeteren van de informatiebeveiliging in Zoetermeer en het versterken van het cyberbewustzijn binnen onze organisatie? Wacht dan niet en kom ons team informatiebeveiliging versterken!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.