image

Securitybedrijf Fox-IT doelwit van man-in-the-middle-aanval

donderdag 14 december 2017, 14:39 door Redactie, 49 reacties

Securitybedrijf Fox-IT is in september het doelwit van een man-in-the-middle-aanval geworden waarbij een aanvaller de dns-instellingen van Fox-it.com aanpaste en zo informatie en bestanden onderschepte, alsmede e-mails. Dat heeft het bedrijf vandaag zelf bekendgemaakt.

De aanval vond plaats op 19 september van dit jaar, waarbij een aanvaller via de domeinregistrar van Fox-IT de dns-instellingen van Fox-it.com wist aan te passen. Dns (domain name system) is vergelijkbaar met het telefoonboek en vertaalt onder andere domeinnamen naar ip-adressen. De aanvaller wijzigde het dns-record van een server en liet die naar een server wijzen die onder zijn controle stond om zo verkeer te onderscheppen. De aanval was gericht op het klantenportaal van Fox-IT dat wordt gebruikt voor het uitwisselen van bestanden met klanten, leveranciers en andere organisaties.

Gedurende een periode van 10 uur en 24 minuten kon de aanvaller informatie en bestanden onderscheppen. Het ging onder andere om de inloggegevens van negen personen en twaalf bestanden. Drie van deze bestanden waren vertrouwelijk van aard. Het gaat echter niet om staatsgeheimen, aangezien die niet via het klantenportaal worden uitgewisseld, aldus het securitybedrijf. Andere onderschepte documenten bevonden zich al in het publieke domein.

Tevens werd een mobiel telefoonnummer onderschept, alsmede een verzameling namen en e-mailadressen van gebruikers van het klantenportaal en accountnamen binnen het portaal. De aanvaller wist ook tien minuten lang e-mail van Fox-IT te onderscheppen. "Aangezien e-maildistributie gedecentraliseerd is op het internet, weten we niet welke e-mails de aanvaller gedurende deze periode heeft onderschept", laat Fox-IT weten. Door het onderscheppen van de e-mail kon de aanvaller aantonen dat hij eigenaar van het Fox-it.com-domein was en zo een ssl-certificaat voor het klantenportaal aanvragen. Daarmee werd de uiteindelijk man-in-the-middle-aanval uitgevoerd.

Wachtwoord

Het securitybedrijf stelt dat de aanvaller met geldige inloggegevens op het beheerderspaneel van de dns-instellingen heeft ingelogd. Hoe de aanvaller deze inloggegevens in handen wist te krijgen is nog niet duidelijk. Gebaseerd op de onderzoeken van de politie en Fox-IT is er "sterk bewijs" dat de aanvaller de inloggegevens via een gecompromitteerde derde partij heeft verkregen. Het onderzoek is nog gaande.

Een mogelijke factor die de aanvaller heeft geholpen is dat het wachtwoord sinds 2013 niet is gewijzigd. De reden dat het wachtwoord al die jaren niet is veranderd, is dat de dns-instellingen nauwelijks worden gewijzigd, aldus de verklaring van Fox-IT. Het bedrijf erkent dat dit beter kan. Verder blijkt dat de gebruikte dns-provider geen tweefactorauthenticatie ondersteunt. De aanvaller had zodoende genoeg aan alleen een wachtwoord en gebruikersnaam om in te loggen. In de analyse van de aanval doet Fox-IT ook verschillende aanbevelingen en laat weten welke lessen het heeft geleerd. Alle organisaties en personen van wie is vastgesteld dat er informatie is onderschept zijn inmiddels ingelicht.

Reacties (49)
14-12-2017, 14:50 door Anoniem
Zo'n belangrijk onderdeel (DNS) van je infrastructuur uitbesteden dat vind ik nog het meeste vreemde van dit security incident,
en ik had ook wel verwacht dat Fox dnssec zou gebruiken ...
14-12-2017, 15:39 door Anoniem
Door Anoniem: Zo'n belangrijk onderdeel (DNS) van je infrastructuur uitbesteden dat vind ik nog het meeste vreemde van dit security incident,
en ik had ook wel verwacht dat Fox dnssec zou gebruiken ...

Zo werkt het dus niet.

https://en.wikipedia.org/wiki/DNS_root_zone
14-12-2017, 15:42 door Anoniem
Ik voel dat de roverheid dit weer zal gebruiken om meer belasting te gaan betalen.
14-12-2017, 15:54 door Anoniem
Door Anoniem: Zo'n belangrijk onderdeel (DNS) van je infrastructuur uitbesteden dat vind ik nog het meeste vreemde van dit security incident,
en ik had ook wel verwacht dat Fox dnssec zou gebruiken ...

Dit zijn geen interne adressen, maar externe internet DNS adressen.
Dat zie je wel vaker dat een service provider waar je je domain hebt geregistreerd dit host.
Username/Password is inderdaad meestal enige wat nodig is.
14-12-2017, 16:01 door Tha Cleaner
Door Anoniem: Zo'n belangrijk onderdeel (DNS) van je infrastructuur uitbesteden dat vind ik nog het meeste vreemde van dit security incident,
en ik had ook wel verwacht dat Fox dnssec zou gebruiken ...

Volgens maakt DNS dnssec niets meer uit als je al controle over de DNS zone hebt?
14-12-2017, 16:07 door Anoniem
Door Anoniem: Zo'n belangrijk onderdeel (DNS) van je infrastructuur uitbesteden dat vind ik nog het meeste vreemde van dit security incident,
en ik had ook wel verwacht dat Fox dnssec zou gebruiken ...

Welke DNS infra structuur?
14-12-2017, 16:21 door Anoniem
En nog steeds is de boel daar niet helemaal veilig. Kijk eeens hier - Let's Encrypt certificaatje voor
Common name:
tls.automattic.com
SAN:
blog.foveroparty.com, blog.fox-it.com, blog.fox-it.nl, fourwindswellness.com, fourwoodthinking.com, fourxviii.com, fouseimprovements.com, foutasfamillenomade.com, foutsassociates.com, fouzology.com, fovdiffusion.com, fovgames.com, fovi63.net, fowberryestate.com, foweygalley.com, fowkesstudios.com, fowledevolution.com, fowlerdaniel.com, fowlerfamilyblog.com, fowllifestyle.com, fowr.net, fox-companies.com, fox-in-moon.com, fox-red-labrador.com, fox-robin.com, fox11events.com, tls.automattic.com, www.fourwindstarot.com, www.fourwindswellness.com, www.fourwoodthinking.com, www.fourxviii.com, www.fouseimprovements.com, www.foutasfamillenomade.com, www.foutsassociates.com, www.fouzology.com, www.fovdiffusion.com, www.fovgames.com, www.fovi63.net, www.fowberryestate.com, www.foweygalley.com, www.fowkesstudios.com, www.fowledevolution.com, www.fowlerdaniel.com, www.fowlerfamilyblog.com, www.fowllifestyle.com, www.fowr.net, www.fox-companies.com, www.fox-in-moon.com, www.fox-red-labrador.com, www.fox-robin.com, www.fox11events.com

Zie: https://aw-snap.info/file-viewer/?protocol=secure&tgt=blog.fox-it.com&ref_sel=GSP2&ua_sel=ff&fs=1

Zie om af te voeren: http://retire.insecurity.today/#!/scan/3b646d5d2b61cd7e60098ca94c7cb99069e71895140532644aefec91a384fdec
Onveilig gerelateerd met site: Results from scanning URL: https://s1.wp.com/_static/??-eJyFztEKwjAMBdAfsquTiXsRv6XWOFKXtDbphn69HeiDMBQCgdzDJXZOBtmP5QJiQ517gfx4rybIxv4ChnDITqEh5A/2kRVYF0vxjCOYIpDdUG+16BpXXIqiBCIVraTfLyFPCPNfFkCT8zeTQfC5tJ7o2Hb9Yde3+24bXjRNW9I=
Number of sources found: 71
Number of sinks found: 33

D- status hier en aanbevelingen: https://observatory.mozilla.org/analyze.html?host=blog.fox-it.com
json result: {} Did not follow redirect to https://en.wordpress.com/typo/?subdomain=192

WordPress Plugins
The following plugins were detected by reading the HTML source of the WordPress sites front page.

ie-sitemode
custom-fonts latest release (1.0.3)
http://www.wpastra.com/
syntaxhighlighter latest release (3.2.1)
http://www.viper007bond.com/wordpress-plugins/syntaxhighlighter/
Plugins are a source of many security vulnerabilities within WordPress installations, always keep them updated to the latest version available and check the developers plugin page for information about security related updates and fixes.

Interessante link sites: www.melani.admin.ch Swiss Federal Government Switzerland & blockchain.info CloudFlare United States en dit Results from scanning URL: http://www.residentevil.com/bumper.php?tgtwww=http%253A%252F%252Fanimeindo.net/
Number of sources found: 3
Number of sinks found: 193

In de cloud zit vaak ook veel gebakken lucht...
14-12-2017, 16:37 door SPer
Ik zou Fox-IT willen adviseren de targets van de DNS lookups van hun portals te monitoren zodat het direct uitkomt als de DNS compromised is.Dan hadden klanten in ieder geval geen 10 - 24 uur het risico gelopen dat documenten met een hoge BIV classificatie in de hand van derden zouden vallen


DIt is een gratis advies BTW .
14-12-2017, 16:39 door SPer
Door Anoniem: Ik voel dat de roverheid dit weer zal gebruiken om meer belasting te gaan betalen.

Even ter verduidelijking de (r)overheid betaald geen belasting dat doen wij, wel even de feiten controleren ;-)
14-12-2017, 16:48 door Anoniem
En je betaalt je blauw voor hun security assesments. Leuk om te horen dat je 2FA moet hebben (natuurlijk!), maar als zelf als wachtwoorden niet veranderen (self-assesment), hun eigen supply chain niet in de gaten houden (supply-chain-assesment)... Dan is het wel de pot verwijt de ketel dat hij zwart ziet....

Hmm... De aanval aas al in September en komt nu pas naar buiten... En wie is er recent weggegaan?
14-12-2017, 17:17 door [Account Verwijderd]
Door Anoniem: Ik voel dat de roverheid dit weer zal gebruiken om meer belasting te gaan betalen.

De roverheid gaat meer belasting betalen.

Nou... die hebben we nog niet gehad!

Nog 16 dagen te gaan voor een nog harder knallende losse flodder die als de spreekwoordelijke tang op een varken slaat, en de zotste uitspraak van 2017 hebben we hier binnen op security.nl

De roverheid gaat meer belasting betalen Ècht subliem! Ik heb hem gebookmarked!
14-12-2017, 17:26 door Anoniem
Ik voel dat de roverheid dit weer zal gebruiken om meer belasting te gaan betalen.

Omdat een privaat bedrijf een breach heeft ? Kraam niet zo'n ongelovelijke onzin uit.

Een MiTM aanval op Fox-IT heeft geen enkele relatie met de vraag hoeveel belasting je betaalt in Nederland.
14-12-2017, 17:31 door Tha Cleaner
Door Anoniem: Ik voel dat de roverheid dit weer zal gebruiken om meer belasting te gaan betalen.
Blijf alsjeblieft weg met dit soort opmerkingen. Ze voegen echt helemaal niets toe aan de discussie.
Sterker nog ze slaan helemaal nergens op.
14-12-2017, 17:44 door Anoniem
Als het kalf verdronken is..

https://mxtoolbox.com/productinfo/dnszoneprotect?source=inline&mxicn=inline&mxicinfo=ZoneProtect
14-12-2017, 17:48 door Anoniem
Waar maken we ons druk om, een lekke Engelse toko die binnenkort ook nog eens niet meer tot de EU behoort. ;-)
14-12-2017, 18:43 door Anoniem
Door Anoniem: Ik voel dat de roverheid dit weer zal gebruiken om meer belasting te gaan betalen.
Rond 2030 krijgt men een verhoging van de energiebelasting die tot 1000 euro per huishouden kan oplopen.
Er gaan dus heel veel gezinnen in de winter in de kou zitten vrees ik (met dank aan meneer Wiebes en al die andere politieke figuren die Windmolenfiel zijn geworden). http://klimaatgek.nl/wordpress/2017/10/10/afrekening/
14-12-2017, 19:37 door Anoniem
Les 1: Bewaak je DNS logs
Les 2: bewaak je DNS queries op wijzigingen en richt je DNS update proces zo in dat de SIEM en Loganalyse ook aangepast wordt.
Les 3: De uitwisseling van bestanden mag ober het Internet niet afhangen qua security van TLS. Defense in depth eist dat je twee lagen van versleuteling gebruikt.
Les 4. Ook bij gebruik van diensten van derden is het belangrijk dat je controleert of de securty maatregelen voldoen aan je eigen beleid!
Les 5: Een pentest op een dienst zelf is niet voldoende. Je moet ook kijken naar de componenten er omheen die de beveiligingssituatie mede bepalen.
Les 6: Een "goede pentest" club is niet hetzelfde als een goede beveiligingsclub!
Les 7: Bewaking van de certificaten registreer log ten aanzien van je eigen domein is essentieel!!!
Les 8: CA's moet via block chain hun nieuwe certificaten gaan delen met minimaal hun klanten!
Les 9: Huur een echte security architect in die technisch hands on echt weet waar het over gaat!
14-12-2017, 20:24 door Anoniem
Publieke access op het beheerders paneel??? Dat hebben wij niet eens.
14-12-2017, 20:26 door Anoniem
Omdat niemand het zegt: KUDOS VOOR FOX-IT dat ze zo open zijn om dit te delen en andere bedrijven te helpen zich hier nu tegen te wapenen.

Tuurlijk gaan er dingen fout, zelfs bij hun. Het is hoe je daar vervolgens mee omgaat wat je bedrijf maakt of kraakt.

En nee; geen aandelen / werknemer of dergelijke.
14-12-2017, 20:27 door Anoniem

DIt is een gratis advies BTW .

BTW op een gratis advies ????
14-12-2017, 21:46 door Anoniem
Een wachtwoord wat al 4 jaar niet gewijzigd is op een internet facing service.
Dat kan ik als amateur beter.
14-12-2017, 21:59 door Anoniem
Door Anoniem: Les 1: Bewaak je DNS logs
Les 2: bewaak je DNS queries op wijzigingen en richt je DNS update proces zo in dat de SIEM en Loganalyse ook aangepast wordt.
Les 3: De uitwisseling van bestanden mag ober het Internet niet afhangen qua security van TLS. Defense in depth eist dat je twee lagen van versleuteling gebruikt.
Les 4. Ook bij gebruik van diensten van derden is het belangrijk dat je controleert of de securty maatregelen voldoen aan je eigen beleid!
Les 5: Een pentest op een dienst zelf is niet voldoende. Je moet ook kijken naar de componenten er omheen die de beveiligingssituatie mede bepalen.
Les 6: Een "goede pentest" club is niet hetzelfde als een goede beveiligingsclub!
Les 7: Bewaking van de certificaten registreer log ten aanzien van je eigen domein is essentieel!!!
Les 8: CA's moet via block chain hun nieuwe certificaten gaan delen met minimaal hun klanten!
Les 9: Huur een echte security architect in die technisch hands on echt weet waar het over gaat!


Really... wat een bullshit staat hier. Het is gewoon teveel om op te noemen.
14-12-2017, 22:17 door Anoniem
Door Anoniem: Waar maken we ons druk om, een lekke Engelse toko die binnenkort ook nog eens niet meer tot de EU behoort. ;-)

Maar wel onze staatsgeheimen moet beschermen....

Gelukkig maken ze er geen doofpotje zodat wij allemaal weer eens met de neus op de feiten gedrukt worden over de ernst van deze WW-3-cyber.
14-12-2017, 22:43 door Anoniem
Door Anoniem: Omdat niemand het zegt: KUDOS VOOR FOX-IT dat ze zo open zijn om dit te delen
.
Kudo's waren op zijn plaats geweest als ze dat binnen een paar dagen met hun klanten hadden gedeeld. Niet drie maanden later...
14-12-2017, 23:01 door Anoniem
Inhoudelijk begrijp ik nog niet hoe de documenten bemachtigd zijn. De 2FA was tenslotte niet doorbroken. Iemand?
14-12-2017, 23:24 door Anoniem
je mag toch wel verwachten van een bedrijf als Fox IT dat die de zaakjes voor elkaar heeft .
blijkt dus gewoon met lock picking de voordeur wijd open staat .
15-12-2017, 05:46 door Anoniem
Door Tha Cleaner:
Door Anoniem: Ik voel dat de roverheid dit weer zal gebruiken om meer belasting te gaan betalen.
Blijf alsjeblieft weg met dit soort opmerkingen. Ze voegen echt helemaal niets toe aan de discussie.
Sterker nog ze slaan helemaal nergens op.
Nee, het is mijn mening, en die mag ik posten. Vind ook de beheerder van de site, anders was mijn post wel geweigerd.
Ik vraag ook niet om een reactie, wil ook geen discussie voeren, maar uiteraard bent u vrij om een reactie te geven.
Maar zolang kopschoppers na een dag weer vrij zijn, kindermisbruikers, die aangeven daar trots op zijn, vrij rondlopen en de roverheid mijn afgedragen geld niet goed besteed, blijf ik posten.
15-12-2017, 07:47 door Anoniem
Rond 2030 krijgt men een verhoging van de energiebelasting die tot 1000 euro per huishouden kan oplopen.
Er gaan dus heel veel gezinnen in de winter in de kou zitten vrees ik (met dank aan meneer Wiebes en al die andere politieke figuren die Windmolenfiel zijn geworden). http://klimaatgek.nl/wordpress/2017/10/10/afrekening/

Dit topic gaat over een MiTM aanval op Fox IT, hou aub op met deze onzin reacties. Heeft niets te maken met dit topic, of het onderwerp van deze website in bredere zin.
15-12-2017, 07:49 door Anoniem
Vraag die ik nog heb is hoe de hackers de 2FA hebben weten te omzeilen. Er zijn tenslotte wel documenten bemachtigd, waarbij je zou denken dat 2FA nodig was om deze te kunnen bemachtigen.
15-12-2017, 08:28 door Anoniem
Volgens maakt DNS dnssec niets meer uit als je al controle over de DNS zone hebt?
Is het niet zo dat bij dnssec twee vormen van control ontstaan? Control e over de zone (dus records kunnen aanpassen) en controle over de ondertekening ervan dmv van een private key. Het ligt voor de hand om de private key zelf te beheren en niet te plaatsen bij je domein-registrar.
Dus DNSsec kan dan wel degelijk een dergelijke aanval voorkomen. De aanvaller moet dan niet alleen inbreken op het account bij je domeinregistrar maar ook de private signing key bemachtigen.
15-12-2017, 08:38 door Anoniem
Door Anoniem: Omdat niemand het zegt: KUDOS VOOR FOX-IT dat ze zo open zijn om dit te delen en andere bedrijven te helpen zich hier nu tegen te wapenen.

Tuurlijk gaan er dingen fout, zelfs bij hun. Het is hoe je daar vervolgens mee omgaat wat je bedrijf maakt of kraakt.

En nee; geen aandelen / werknemer of dergelijke.

Daar heb je gelijk in; neem alleen wel even mee dat Fox het zich niet kan veroorloven dat niet te zijn. De PR schade is al groot; het niet disclosen maakt het gigantisch. Dat is wel hetgeen de afgelopen maanden heeft bewezen (Equipfax/Uber)

wijze les: hackers hoeven maar 1x success te hebben; blue teams moeten dat elke keer.
15-12-2017, 08:41 door Anoniem
Kudos? Tja, meldplicht datalekken https://autoriteitpersoonsgegevens.nl/nl/onderwerpen/beveiliging/meldplicht-datalekken

Maar dan nog. Er zijn vast veel bedrijven die dat aan hun laars lappen. Is nogal negatieve publiciteit zoiets als dit

DNS records monitoren is wel het minste wat je kunt doen idd. En ben benieuwd naar hun ISO 27001 en audit daarvan. Hoe in hemelsnaan kan dit daar doorheen geglipt zijn?
15-12-2017, 09:23 door Anoniem
Door Anoniem:
Door Anoniem: Les 1: Bewaak je DNS logs
Les 2: bewaak je DNS queries op wijzigingen en richt je DNS update proces zo in dat de SIEM en Loganalyse ook aangepast wordt.
Les 3: De uitwisseling van bestanden mag ober het Internet niet afhangen qua security van TLS. Defense in depth eist dat je twee lagen van versleuteling gebruikt.
Les 4. Ook bij gebruik van diensten van derden is het belangrijk dat je controleert of de securty maatregelen voldoen aan je eigen beleid!
Les 5: Een pentest op een dienst zelf is niet voldoende. Je moet ook kijken naar de componenten er omheen die de beveiligingssituatie mede bepalen.
Les 6: Een "goede pentest" club is niet hetzelfde als een goede beveiligingsclub!
Les 7: Bewaking van de certificaten registreer log ten aanzien van je eigen domein is essentieel!!!
Les 8: CA's moet via block chain hun nieuwe certificaten gaan delen met minimaal hun klanten!
Les 9: Huur een echte security architect in die technisch hands on echt weet waar het over gaat!


Really... wat een bullshit staat hier. Het is gewoon teveel om op te noemen.

Bedankt voor je superinhoudelijke bijdrage zonder enige onderbouwing. Daar komen we echt verder mee met dit soort onzin commentaar. Doe maar even dan wat wel de oplossing is volgens jou?
15-12-2017, 09:54 door Anoniem
Door Anoniem: Vraag die ik nog heb is hoe de hackers de 2FA hebben weten te omzeilen. Er zijn tenslotte wel documenten bemachtigd, waarbij je zou denken dat 2FA nodig was om deze te kunnen bemachtigen.

Dit is eenvoudig. Het gaat hier om een MiTM aanval. De aanvaller loodst alle verkeer tussen de klant en de server van Fox via zijn server.

Klant haalt document op ---> aanvallers server ontvang request ---> aanvallers server stuurt het requeset door naar de server van Fox ---> Fox verstuurt het document naar de server van de aanvaller ---> server van de aanvaller stuurt het document door naar klant (die heeft niks in de gaten) en houdt het document ook zelf.

Vandaar dat ook niet alle documenten zijn gecompromitteerd.
15-12-2017, 11:29 door Anoniem
Door SPer: Ik zou Fox-IT willen adviseren de targets van de DNS lookups van hun portals te monitoren zodat het direct uitkomt als de DNS compromised is.Dan hadden klanten in ieder geval geen 10 - 24 uur het risico gelopen dat documenten met een hoge BIV classificatie in de hand van derden zouden vallen

Ik werd toevallig net door fox-it gebeld toen ik dit artikel aan het lezen was. Ze probeerden een SOC dienst te verkopen, waarmee we "sneller problemen zouden kunnen detecteren".
Fox-it: Waar kent u ons van?
Ik: Van een artikel over jullie klantportaal in september.
Fox-it: Ja, wij komen natuurlijk vaak in het nieuws.

Ze hadden geen idee van het soort organisatie, onze grootte of zelfs ons e-mail domein.

Ze hoeven niet meer terug te bellen.

Peter
15-12-2017, 11:44 door Anoniem
Door Anoniem:
Door SPer: Ik zou Fox-IT willen adviseren de targets van de DNS lookups van hun portals te monitoren zodat het direct uitkomt als de DNS compromised is.Dan hadden klanten in ieder geval geen 10 - 24 uur het risico gelopen dat documenten met een hoge BIV classificatie in de hand van derden zouden vallen

Ik werd toevallig net door fox-it gebeld toen ik dit artikel aan het lezen was. Ze probeerden een SOC dienst te verkopen, waarmee we "sneller problemen zouden kunnen detecteren".
Fox-it: Waar kent u ons van?
Ik: Van een artikel over jullie klantportaal in september.
Fox-it: Ja, wij komen natuurlijk vaak in het nieuws.

Ze hadden geen idee van het soort organisatie, onze grootte of zelfs ons e-mail domein.

Ze hoeven niet meer terug te bellen.

Peter

Maar hoe komen ze dan aan jouw telefoonnummer?
15-12-2017, 12:48 door Anoniem
De baas is nog niet weg of het gaat al fout. Net zoals bij Madison. Deze laatste bestaat al niet meer. Nu de eerste nog.
15-12-2017, 13:46 door Anoniem
Door Anoniem: De baas is nog niet weg of het gaat al fout. Net zoals bij Madison. Deze laatste bestaat al niet meer. Nu de eerste nog.

Het ging al fout ónder Ronald Prins, hij was in de periode van 2013 tot nu gewoon verantwoordelijk voor de toko.
15-12-2017, 15:31 door Anoniem
FoxIT doet niet moeilijk om ip adressen en domeinen van andere slachtoffers te delen, maar als ze zelf slachtoffer zijn dan houden ze die liever verborgen. En niet aankomen met een smoes dat dit komt doordat er nog een (politie)onderzoek bezig is. In de gevallen van andere slachtoffers doet FoxIT daar niet moeilijk over. Dan delen ze die informatie wel omdat ze er dan mee kunnen pronken.
15-12-2017, 15:44 door Anoniem
Zolang een domeinnaam niet ondertekend is met DNSSEC, kan een aanvaller nog steeds DNS-antwoorden spoofen. Op die manier kan de aanvaller (web-/mail-)verkeer omleiden en zelfs een vals certificaat aanvragen. Het CA/B Forum verplicht CA's om DNSSEC te valideren als er een CAA-record is. Kortom als je je domeinnaam met DNSSEC ondertekent én een CAA-record publiceert, dan kan een aanvaller niet zomaar een vals certificaat aanvragen via DNS-spoofing. Voorwaarde daarvoor is wel dat CA's zich houden aan de verplichte spelregels van CA/B Forum. Zie verder: https://cabforum.org/2017/03/08/ballot-187-make-caa-checking-mandatory/
15-12-2017, 17:45 door Anoniem
Les 6: Een "goede pentest" club is niet hetzelfde als een goede beveiligingsclub!
Sterker nog, een goede pentest-club laat zich door een andere partij testen op hun bedrijfsveiligheid.
Really... wat een bullshit staat hier. Het is gewoon teveel om op te noemen.
Als je na je studie gaat werken zul je merken dat hier best goed advies tussen staat.
FoxIT doet niet moeilijk om ip adressen en domeinen van andere slachtoffers te delen, maar als ze zelf slachtoffer zijn dan houden ze die liever verborgen. En niet aankomen met een smoes dat dit komt doordat er nog een (politie)onderzoek bezig is. In de gevallen van andere slachtoffers doet FoxIT daar niet moeilijk over. Dan delen ze die informatie wel omdat ze er dan mee kunnen pronken.
FoxIT staat bij mij ook niet hoog aangeschreven op dit gebied. Maar wat niet is kan best nog komen.
16-12-2017, 15:04 door Anoniem
"En ben benieuwd naar hun ISO 27001 en audit daarvan. Hoe in hemelsnaan kan dit daar doorheen geglipt zijn?"

ha ha ha mooi die blinde vlek die je regelmatig ziet bij die iso dit en iso dat denkers :).

/sarcasm=on heeeft heeeelemaaaaaal niiets met techniek te maken of mensen hooooooor neeeeeeeuuuuuuuh /sarcasm=off


spreadsheet managers.... de vloek van deze eeuw! in defensie, in de zorg, bij belastingdienst, bij politie, in het onderwijs, allemaal zichtbaar en duidelijk en bij bedrijven ook net zo alleen die zijn niet zo transparant daarin!

en daarom wil ik dat we afstappen van MS excel, exchange, outlook en powerpoint the lot!
17-12-2017, 13:52 door Anoniem
Door Anoniem: spreadsheet managers.... de vloek van deze eeuw! in defensie, in de zorg, bij belastingdienst, bij politie, in het onderwijs, allemaal zichtbaar en duidelijk en bij bedrijven ook net zo alleen die zijn niet zo transparant daarin!
Al kunnen ze soms wel dingen duidelijk markeren. Of je er bij mee bent is dan een tweede.

en daarom wil ik dat we afstappen van MS excel, exchange, outlook en powerpoint the lot!
En wat heeft dit met het issue te maken? Afgezien dat bijna het hele bedrijfsleven er op werkt. Maar niets met spreadsheet managers te maken heeft of het het huidige security issue van FoxIT
17-12-2017, 19:50 door karma4 - Bijgewerkt: 17-12-2017, 19:50
Door Anoniem: "En ben benieuwd naar hun ISO 27001 en audit daarvan. Hoe in hemelsnaan kan dit daar doorheen geglipt zijn?"

ha ha ha mooi die blinde vlek die je regelmatig ziet bij die iso dit en iso dat denkers :).

/sarcasm=on heeeft heeeelemaaaaaal niiets met techniek te maken of mensen hooooooor neeeeeeeuuuuuuuh
....
De iso27001 gaat over het strategisch niveau ofwel het begint met de mensen die de hoofd verantwoordelijkheid hebben.
Daaruit komt het tactisch beleid ofwel arcitectuur. Iso27002 27018 27013 etc. Het zijn de aandachtsgebieden voor wat er technisch moet gebeuren.
Pas daarna mag er een specifieke invulling in techiek aan de orde komen die voldoet.

Naast micromanagement met persoonlijke spreadsheets heb je de last van eigenwijze Nerds die boel feitelijk aan het saboteren zijn.

Een externe mitm gebeuren krijg je enkel naar boven door goed gescheiden externe paden waar je met een indicator kan werken. Zo niet dan blijft het theewater risico.
17-12-2017, 20:44 door Anoniem
Het gaat hier om inloggegevens die zij van een derde partij wisten te bemachtigen waardoor zij DNS intellingen konden aanpassen. Deze inloggegevens waren 4 jaar niet gewijzigd en back to basic behoort dit tot het wachtwoordbeleid. Samengevat Return Back To Basic!!!
18-12-2017, 11:15 door Krakatau
Door Anoniem: "En ben benieuwd naar hun ISO 27001 en audit daarvan. Hoe in hemelsnaan kan dit daar doorheen geglipt zijn?"

ha ha ha mooi die blinde vlek die je regelmatig ziet bij die iso dit en iso dat denkers :).

Volgens mij is het probleem met die ISO-quoters dat ze helemaal niet (zelf) kunnen denken! Ze kunnen alleen hun ISO-receptjes aanhalen en nauwgezet opvolgen. Over alles wat erbuiten valt zou je (zelf) moeten nadenken. Maar ja, het vermogen daartoe, dat is niet iedereen gegeven.
18-12-2017, 13:16 door Anoniem
Leuk zo'n "security" bedrijf die weleens stoer praatje heeft op de radio bijv.
18-12-2017, 17:56 door Anoniem
Door Krakatau:
Door Anoniem: "En ben benieuwd naar hun ISO 27001 en audit daarvan. Hoe in hemelsnaan kan dit daar doorheen geglipt zijn?"

ha ha ha mooi die blinde vlek die je regelmatig ziet bij die iso dit en iso dat denkers :).

Volgens mij is het probleem met die ISO-quoters dat ze helemaal niet (zelf) kunnen denken! Ze kunnen alleen hun ISO-receptjes aanhalen en nauwgezet opvolgen. Over alles wat erbuiten valt zou je (zelf) moeten nadenken. Maar ja, het vermogen daartoe, dat is niet iedereen gegeven.

ja en als een regel tegenstrijdig is met een harde functionaliteit eis, dan wordt regel niet geimplementeerd (wat terrecht is want wat heb je aan een systeem zonder gebruiker), maar de bedoeling achter de regel ook niet op een alternatieve manier geimplementeerd. want voor dat laatste heb je inhoudelijk technische kennis nodig. maarja, dat zijn weer die OS nerds waar iso denkers maar moeite mee hebben. Ik zeg je, het is een hele lange top-down keten die zo sterk is als de zwakste schakel en waarbij schakel 1 aan de top niet verder dan schakel 2 kan kijken. efin er zijn maar wijnig ITers met genoeg mentale bagage om grens overschrijdend te denken. ik merk dat je dit soort mensen eerder uit de academische wereld ziet komen dan elders. vaak hebben ze ook een PhD of een ander (hard) beta vak gedaan. dat is wat ik merk en zie daar waar het wel werkt tov waar het niet werkt. dus if you pay peanut... klopt wel aardig steeds weer...
20-12-2017, 00:14 door Anoniem
Daar draait de hele discussie hier steeds weer om - technische IT contra gewone IT. Zoals de "staartjes" met een apple
en het developer type met das en zonder. De stack-ridder en de bug-tester.

Wie gaat er nog handwerk verrichten als er al prachtig kant en klaar over nagedacht is door een club van mensen met net iets meer kennis en specialisatie dan de eenling, die het wiel weer opnieuw wil uitvinden.

De manager met zijn geloof in dozenschuivers van "one click solves it all" oplossingen, aangepraat op de manier van een soort van artsenbezoeker-type van een IT tech-bedrijf. Of de cut-and-paste codeurs, het code scharrelpluimvee.

Neen, beter nog, geen eigen verantwoordelijk meer nemen. De weg naar de hemel of hel loopt immers via de cloud en de outsourcer staat al roepend klaar. Hij kijkt alsof hij de cloud al kan zien en het data-manna dat snel neer zal dalen.

Wie het vroeger in-huis deed, is ingedut en niet meer meegekomen met de laatste ontwikkelingen of wegbezuinigd.

Hij had een leuk recept, maar dat werkt niet meer bij str*nt aan de knikker en als andere partijen niet meer thuis geven.

Herkent iemand zich hierin? Ken je al je bus-schema's nog uit je hoofd voor RAM? Ik voel met je mee, man!
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.