FBI waarschuwt voor aanvallen via Remote Desktop Protocol
De FBI heeft een waarschuwing afgegeven voor aanvallen via het Remote Desktop Protocol (RDP). Volgens de Amerikaanse opsporingsdienst is er sinds eind 2016 een toename van aanvallen via RDP en hebben aanvallers manieren gevonden om kwetsbare RDP-sessies te vinden, om zo inloggegevens te stelen en ransomware te verspreiden.
Via het Remote Desktop Protocl is het mogelijk om op afstand op een systeem in te loggen. De FBI stelt dat aanvallers gebruikmaken van zwakke wachtwoorden en verouderde RDP-versies om toegang tot systemen te krijgen. De aanvallers worden daarbij geholpen doordat beheerders onbeperkte toegang tot de standaard RDP-poort (tcp-poort 3389) mogelijk maken en het aantal inlogpogingen per gebruiker niet beperken.
Zodra de aanvallers op een systeem weten in te loggen proberen ze het achterliggende netwerk aan te vallen. Een bekend voorbeeld is de SamSam-ransomware. Deze ransomware wordt bij gerichte aanvallen ingezet en kan grote gevolgen voor getroffen organisaties hebben. De FBI meldt dat de aanvallers achter SamSam in juli via een bruteforce-aanval de RDP-inloggegevens van een gezondheidsbedrijf wisten te achterhalen en zo toegang tot het bedrijfsnetwerk kregen en duizenden machines versleutelden.
Om dergelijke aanvallen te voorkomen krijgen zowel bedrijven als eindgebruikers het advies om te controleren of ze RDP hebben ingeschakeld. Indien niet nodig moet de dienst worden uitgeschakeld. Verder moeten beheerders sterke wachtwoorden en een lockout policy instellen om bruteforce-aanvallen tegen te gaan. Ook wordt het gebruik van tweefactorauthenticatie en RDP-logging aangeraden en het beperken van toegang tot RDP-verbindingen.
Je kunt RDP over SSH laten verlopen, met een certificaat als authenticatiemiddel. SSH kan poorten redirecten, zodat je vanaf 127.0.0.1 op de doelcomputer naar een op Internet openstaande RDP poort kunt verbinden. Op de lokale computer verbind je dan met een poort op de lokale computer die door OpenSSH wordt opengezet.
SSH server is gratis beschikbaar voor Windows via Cygwin, Microsoft's OpenSSH port en CopSSH (betaalde OpenSSH port). Command line SSH clients worden daarin meegeleverd, en Putty is de bekendste GUI SSH client.
Dus je kunt zonder geld uit te geven aan software de zaak beveiligen.
Je kunt RDP over SSH laten verlopen, met een certificaat als authenticatiemiddel. SSH kan poorten redirecten, zodat je vanaf 127.0.0.1 op de doelcomputer naar een op Internet openstaande RDP poort kunt verbinden. Op de lokale computer verbind je dan met een poort op de lokale computer die door OpenSSH wordt opengezet.
SSH server is gratis beschikbaar voor Windows via Cygwin, Microsoft's OpenSSH port en CopSSH (betaalde OpenSSH port). Command line SSH clients worden daarin meegeleverd, en Putty is de bekendste GUI SSH client.
Dus je kunt zonder geld uit te geven aan software de zaak beveiligen.
De terminal is de moeder voor desktops, beetje thuis in de CLI (command.line interface), vroeger deed je niets anders.
Geef je een SSh verbinding open en bloot op internet dan geef je remote desktop open en bloot op internet weg. Geef dat root rechten etc en je hebt een feestje voor de black hacker als je er waardevolle gegevens op hebt.
Verder ben ik eens dat je RDP beter niet zomaar aan het internet kan hangen ook omdat er kwetsbaarheden kunnen zijn of komen en zoiets niet altijd direct gepatched kan worden.
Je kunt RDP over SSH laten verlopen, met een certificaat als authenticatiemiddel. SSH kan poorten redirecten, zodat je vanaf 127.0.0.1 op de doelcomputer naar een op Internet openstaande RDP poort kunt verbinden. Op de lokale computer verbind je dan met een poort op de lokale computer die door OpenSSH wordt opengezet.
SSH server is gratis beschikbaar voor Windows via Cygwin, Microsoft's OpenSSH port en CopSSH (betaalde OpenSSH port). Command line SSH clients worden daarin meegeleverd, en Putty is de bekendste GUI SSH client.
Dus je kunt zonder geld uit te geven aan software de zaak beveiligen.
De terminal is de moeder voor desktops, beetje thuis in de CLI (command.line interface), vroeger deed je niets anders.
Geef je een SSh verbinding open en bloot op internet dan geef je remote desktop open en bloot op internet weg. Geef dat root rechten etc en je hebt een feestje voor de black hacker als je er waardevolle gegevens op hebt.
Eventueel met fail2ban kan je SSH ook veel gemakkelijker blockeren dan dat je met RDP kan.
RDP via SSH tunnel is nog altijd beter dan RDP direct aan het Internet hangen.
Daarom werkt SSH met een UserID wachtwoord of nog beter een SSH key. Dan gaat je hele feestje helemaal niet op. Daarnaast staat root toegang vanuit SSH standaard overal uit en heb je hier dus ook geen last van.
Eventueel met fail2ban kan je SSH ook veel gemakkelijker blockeren dan dat je met RDP kan.
RDP via SSH tunnel is nog altijd beter dan RDP direct aan het Internet hangen.
De eerste voorwaarde zal moeten zijn een afgeschermde VPN... SSH nog steeds een CLI mogelijkheid.
Shell met root access lijkt met ideaal (het IOT dilemma).
Probeer maar eens een login policy met ssh af te dwingen (bron en tijden en login pogingen) je zult verrast worden door de inconsequenties.
Daarom werkt SSH met een UserID wachtwoord of nog beter een SSH key. Dan gaat je hele feestje helemaal niet op. Daarnaast staat root toegang vanuit SSH standaard overal uit en heb je hier dus ook geen last van.
Eventueel met fail2ban kan je SSH ook veel gemakkelijker blockeren dan dat je met RDP kan.
RDP via SSH tunnel is nog altijd beter dan RDP direct aan het Internet hangen.
Je hebt dus iets nodig (key) en je moet iets weten (userid/password).
We hebben het hier helemaal niet over IOT. Of waar komt in eens root vandaan?
En SSH kan je zelf eventueel scripten bij foutieve authenticaties icm IP en een geolocatie database.
SSH tunnel icm met RDP tunnel is altijd nog beter dan direct RDP aan het Internet gangen. Dat is gewoon een feit.
Maar het kan nog een stuk beter, VPN icm 2AF. Maar dat is ook weer een stuk lastiger te implementeren. SSH Tunnel is erg gebruikers onvriendelijk, maar werkt wel stukken beter en veiliger.
Security through obscurity werkt nergens voor en in sommige gevallen zelfs averechts.
Security through obscurity werkt nergens voor en in sommige gevallen zelfs averechts.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Toezichthouder informatiebeveiliging Overheid
Rijksinspectie Digitale Infrastructuur (RDI)
Vind je het leuk om als toezichthouder bij te dragen aan de verdere groei in informatie-beveiliging van de overheid en in contact te staan met (belangen) organisaties binnen de overheid? Dan kun je komen bouwen aan toezicht op een veilige en betrouwbare Digitale Infrastructuur in Nederland.
Adviseur Informatiebeveiliging
Je bent een belangrijke speler om invulling te geven aan de gemeentelijke ambities op het gebied van informatiebeveiliging. Deze ambities neem jij op in het Informatie-beveiligingsbeleid Gemeente Zoetermeer. Wil je helpen bij het verbeteren van de informatiebeveiliging in Zoetermeer en het versterken van het cyberbewustzijn binnen onze organisatie? Wacht dan niet en kom ons team informatiebeveiliging versterken!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.