Australische overheid ziet toename van password spraying
De Australische overheid heeft bedrijven en organisaties in het land gewaarschuwd voor password spraying, aangezien het een toename van deze aanval ziet om toegang tot webmail, Active Directory Federated Services (ADFS) of cloudgebaseerde diensten zoals Office 365 te krijgen.
Password spraying is een techniek waarbij een aanvaller veelgebruikte wachtwoorden probeert om op een account in te loggen. Om detectie te voorkomen probeert een aanvaller eerst één wachtwoord tegen een groot aantal accounts, voordat er een tweede wachtwoord wordt gebruikt. Door deze techniek voorkomt de aanvaller dat een account wordt geblokkeerd en de aanval opgemerkt.
Volgens het Australische Cyber Security Centre (ACSC) vindt er een groot aantal password spraying-aanvallen tegen Australische organisaties plaats. Om detectie van dergelijke aanvallen te vergroten kunnen organisaties bepaalde regels in hun Security Information and Event Management (SIEM) oplossing of soortgelijk product aanmaken. Er moet dan worden gekeken naar een groot inlogpogingen gedurende een bepaalde tijd, een groot aantal verkeerde gebruikersnamen waarmee is geprobeerd in te loggen, een groot aantal geblokkeerde accounts en het aantal mislukte inlogpogingen per ip-adres.
Om de aanvallen te voorkomen adviseert het ACSC om multifactorauthenticatie te implementeren op alle systemen met externe toegang, het gebruik van complexe wachtwoorden via een policy te verplichten, wachtwoorden van getroffen accounts te resetten, geo blocking, ip-whitelisting of vpn's in te voeren en monitoring uit te breiden.
Password bruteforce: 1 website, 1 account, meerdere wachtwoorden
Password spraying: 1 website, meerdere accounts, 1 wachtwoord
Credential stuffing: meerdere websites, meerdere accounts, gekraakte/gelekte wachtwoorden
Zolang je een uniek wachtwoord gebruikt (of zoals het hoort gebruik maakt van WebAuthn) heb je niets te vrezen.
Ik stond al op het punt om naar de winkel te gaan voor een buske password spray.
uhm... bv fail2ban kijkt gewoon naar het aantal mislukte inlogpogingen gebaseerd op ip adres...
dus 5 keer fout en block.. ongeacht met welke usernaam je het aan het proberen bent.
dus zie niet in hoe je met deze tactiek jezelf zou verbergen.
dus 5 keer fout en block.. ongeacht met welke usernaam je het aan het proberen bent.
Jij gaat er van uit dat alle accounts op één server draaien. Maar het kan best zo zijn dat ze een lijst van 10000 servers aflopen en dan slechts eens in de zoveel tijd bij jouw server komen. Meestal reset het aantal pogingen na een bepaalde tijd en proberen ze zo onder de radar te blijven. Ik heb het op mijn mailserver ook wel gezien dat er maar 1 poging per uur kwam en daardoor onder mijn ingestelde blokkeringsdrempel bleef. Maar bij 1 poging per uur gaat hel niet snel lukken bij een redelijk wachtwoord.
Een paar week geleden is er nog een complexere aanval gestart op nas systemen van diverse merken. Daar werd een botnet ingezet en kwam de inlogpoging elke keer van een ander IP adres.
uhm... bv fail2ban kijkt gewoon naar het aantal mislukte inlogpogingen gebaseerd op ip adres...
dus 5 keer fout en block.. ongeacht met welke usernaam je het aan het proberen bent.
En wat nou als ie het via een botnet doet dus allemaal verschillende IP adressen?
Het enige wat je dan nog kunt detecteren is een opvallend hoog aantal mislukte inlogpogingen.
En wat dan? Je hele service plat leggen, maar dat is ook zo wat. En geeft de aanvaller misschien het
idee om het als chantage middel te gebruiken.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Toezichthouder informatiebeveiliging Overheid
Rijksinspectie Digitale Infrastructuur (RDI)
Vind je het leuk om als toezichthouder bij te dragen aan de verdere groei in informatie-beveiliging van de overheid en in contact te staan met (belangen) organisaties binnen de overheid? Dan kun je komen bouwen aan toezicht op een veilige en betrouwbare Digitale Infrastructuur in Nederland.
Adviseur Informatiebeveiliging
Je bent een belangrijke speler om invulling te geven aan de gemeentelijke ambities op het gebied van informatiebeveiliging. Deze ambities neem jij op in het Informatie-beveiligingsbeleid Gemeente Zoetermeer. Wil je helpen bij het verbeteren van de informatiebeveiliging in Zoetermeer en het versterken van het cyberbewustzijn binnen onze organisatie? Wacht dan niet en kom ons team informatiebeveiliging versterken!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.