Zoals ieder jaar lichtten deskundigen van gerenommeerd beveiligingsinstituut SANS op securitycongres RSAc vijf beveiligingstrends toe aan de hand van wat zij in de praktijk ervaren. Deze jaarlijkse sessie is niet de gebruikelijke paniekzaaiende of FUD-verhalen die je nog wel eens tegenkomt van beveiligingsbedrijven, maar leveren praktische tips en tools om je beveiliging naar een hoger niveau te tillen.
Vaste spreker Ed Skoudis is een van 's werelds meest vooraanstaande pentesters die nieuwe generaties securityprofessionals opleidt om ze het gereedschap te geven om IT-systemen te beveiligen tegen wat er op ze afkomt. We vinden bij Computerworld zijn presentaties altijd bijzonder nuttig, omdat ze gebouwd zijn op recente inzichten en hij bezoekers verwijst naar (gratis) websites die zijn ontworpen om beveiligers bij te staan.
Skoudis krijgt hulp van SANS' Storm Center-frontman Johannes Ullrich en Heather Mahalik, expert op het gebied van digitale opsporing, mobiele apparaten, social engineering. Onderaan dit artikel is de gehele presentatie te bekijken via YouTube, maar voor mensen die even geen tijd hebben voor de drie kwartier durende sessie of het verhaal even willen skimmen, vatten we hem hieronder samen.
1. DNSpionage
Een interessante trend is geen nieuwe, maar volgens SANS zien ze hier meer praktijkvoorbeelden van. Het is mede het gevolg van de honderden miljoenen records van inloggegevens die door de jaren heen zijn buitgemaakt en overal rondzwerven. Beveiliger Troy Hunt bouwde de website HaveIBeenPwned waar iedereen zijn of haar e-mailadres kan invullen om te zien of deze voorkomt in een van deze gestolen databases.
Veel van deze inloggegevens zijn al lang gewijzigd, bijvoorbeeld door een verplichte hardwarereset die de gehackte site heeft afgedwongen, maar omdat mensen hetzelfde wachtwoord hergebruiken op andere sites, zijn de inloggegevens nog steeds nodig. Als beheerderX@yahoo.com bijvoorbeeld bij het Yahoo gehackte wachtwoord Sinds1dagof2 gebruikt op zijn LinkedIn, Amazon-account of zelfs Azure AD, kun je proberen dat wachtwoord in te pluggen op allerlei sites om te zien of je ergens binnen kunt komen.
Dat gebeurt met privé-accounts, maar ook met gerichte aanvallen op bedrijven. Aanvallers zoeken de admin van een bedrijf dat op de korrel wordt genomen via LinkedIn, zijn of haar adressen en accounts worden verzameld, er wordt gekeken of er eentje daarvan opduikt in een andere hack en er wordt vervolgens aan verschillende digitale deuren gemorreld om te zien of er ergens eentje opengaat.
Dat zogeheten credential-stuffing wordt veel gedaan en op deze manier komen aanvallers binnen bij registars en DNS-beheerders om vervolgens de e-mail te laten omleiden naar een eigen server. Erger nog, ze vragen eigen TLS-certificaten aan om de malafide verbinding authentiek te maken. In dat proces wordt er meestal bevestigd via het e-maildomein van de aanvrager, die dus op dat moment in het beheer is van de aanvaller. Cisco's beveiligingstak Talos noemde deze techniek vorig jaar in een blogpost DNSpionage en op die manier is dat nu bekend.
Skoudis noemt drie manieren om te voorkomen dat je hier slachtoffer van wordt:
1. Multifactor-authenticatie. Skoudis kan niet genoeg benadrukken hoe belangrijk MFA is geworden. Later in dezelfde presentatie zegt Heather Mahalik over persoonlijke apparaten en diensten: "Een gebrek aan tweefactor-authenticatie is nu simpelweg slechte, slechte security." Skoudis meent dat je tenminste 2FA moet inzetten om wijzigingen aan te kunnen brengen in je DNS-infrastructuur,
2. Gebruik DNSsec. "DNSsec moet rigoureus worden ingezet. Sommige organisaties doen dat, andere niet." Hij merkt daarbij op dat er organisaties zijn die geen validatie uitvoeren. DNS-informatie moet ten eerste cryptografisch getekend zijn, maar de clients moeten ten tweede ook verifiëren dat deze informatie klopt. "Als je maar de helft doet, heb je DNSsec niet geïmplementeerd."
3. Trek slechte certificaten in. Om dat te doen, moeten organisaties monitoren of er wijzigingen worden uitgevoerd aan de DNS-records. Zo biedt SecurityTrails deze API om te zien of er wijzigingen zijn uitgevoerd aan digitale certificaten die zijn geassocieerd met jouw organisatie. "Je kunt dit scripten om dit eens per dag uit te voeren en omdat je 50 query's gratis per maand krijgt, kun je hiermee uit de voeten." Bij crt.sh kun je query's uitvoeren om te zien of er wijzigingen zijn uitgevoerd op publieke informatie die is geassocieerd met jouw organisatie.
2. Witwassen van cloudsporen
Domain fronting is een techniek waarmee hostnames verborgen worden door een verbinding door te sluizen via een overgenomen machine binnen een CDN. Zo maakt een onvertrouwde host gebruik van een een vertrouwd platform om zijn sporen te wissen. Privacy-applicaties maakten hier bijvoorbeeld handig gebruik van om zo diensten aan te kunnen bieden in gebieden waar hun domeinen zijn geblacklist.
Maar ook criminelen gebruikten deze techniek om hun malafide sites te verbergen en domain fronting kreeg zo meer aandacht. Google en Amazon namen vorig jaar maatregelen om deze onbedoelde feature te dwarsbomen. "Veel mensen denken dat dit probleem nu is opgelost, maar dat is het niet", waarschuwt Skoudis. "Bij Google en Amazon zijn de mogelijkheden nu beperkt, maar andere CDN's bieden dit nog steeds."
Bron: Presentatie SANS op RSAc 2019
Wat erger is, vertelt de deskundige, is dat domain fronting aanvallers heeft laten zien dat ze de cloud in kunnen verdwijnen. "Zelfs als we vandaag nog alle vormen van domain fronting lieten verdwijnen, weten de slechteriken nu dat ze kunnen hosten op cloudgebaseerde diensten en nog steeds veel organisaties kunnen ondermijnen."
Clouddiensten vertrouwen andere clouds alsof ze deel uitmaken van hun eigen infrastructuur, legt hij uit. Omdat een clouddienst malafide activiteiten die het opmerkt blokkeert, gebruiken aanvallers meerdere clouds om hun spoor te maskeren en 'springen ze van cloud naar cloud'. "De kans dat één cloudprovider een andere cloud helemaal uitfiltert is heel erg klein, want ze willen geen dienst blokkeren."
Ook hier heeft hij een aantal behulpzame tips voor betere beveiliging:
1. Zet als bedrijf een TLS-proxy in. TLS interception helpt volgens Skoudis al een heel eind om misbruik te voorkomen. "Er is een prachtige gids over hoe je dit doet van het Nederlandse NCSC. Die is heel, heel goed gedaan."
2. Houd er rekening mee dat je cloudprovider overgenomen kan worden. Oftewel, ook met cloudverbindingen, net als met elke andere verbinding, is een zero-trustmodel wellicht niet onverstandig. "Ontwerp voor het scenario dat de cloud gecompromitteerd is. Versleutel clouddata bijvoorbeeld, maar sla de sleutels niet op binnen dezelfde cloud."
3. Detecteer domain fronting activiteit en malware. "Hiervoor heb je een geweldige tool genaamd Real Intelligence Threat Analytics (RITA)." Bij SANS kun je hier meer lezen over de werking van RITA. Deze tool van Black Hills Information Security is bedoeld om Hunt Teaming te ondersteunen, oftewel pro-actief op zoek gaan naar misbruik dat niet wordt opgemerkt met geautomatiseerde tooling.
3. Gerichte individuele aanvallen
"Hoe luier we worden als mensen, hoe beter we een blik gunnen in ons leven", zegt Heather Mahalik die wijst op een groei van aanvallen op personen omdat het makkelijk is. De redenen dat individuen worden belaagd zijn uiteenlopend: vanwege problemen in de relationele sfeer, aanvallen voor financieel gewin, of aanvallen om via de persoon een bedrijf te raken (spearphishing). Mahalik vertelde dit soort aanvallen voorheen nog weg te wuiven, omdat 'je echt niet zo interessant bent', maar zegt de laatste jaren steeds meer gemerkt te hebben dat data die we zelf wellicht als niet relevant zien wel degelijk waarde hebben, ook voor aanvallers. "De grootste fout die je kunt maken is aannemen dat mensen je gegevens niet belangrijk vinden."
Een probleem is dat het zo verdomd makkelijk is. Ten eerste al om dat informatie vrijelijk beschikbaar is en daar nog onvoldoende rekening mee wordt gehouden door mensen die toegangscontrole implementeren. Ze vertelt over een leerling die een testaccount kraakte omdat de geboortedatum van het doelwit te vinden was op zijn Facebook-pagina en je daarmee het wachtwoord kon resetten. "Als het een optie is om met een geboortedatum een wachtwoord te resetten is de kans groot dat jullie vandaag mijn wachtwoord kunnen herstellen."
Maar ook op technisch niveau is toegangsbeveiliging vaak onvoldoende. "Wat gebeurt er als iemand vijf keer een incorrect wachtwoord opgeeft? Je zou hopen dat deze persoon dan wordt geblokkeerd", zegt Mahalik. Het gebrek aan 2FA bij toegangscontrole hekelt ze als 'slechte, slechte beveiliging', omdat het zo'n standaardoplossing is vandaag de dag. "Als het niet wordt aangeboden, zou je moeten heroverwegen of je deze applicatie of clouddienst wel wilt gebruiken."
Haar tips om persoonlijke beveiliging te vergroten:
1. Denk na over welke informatie publiek beschikbaar is. Dat geldt niet alleen voor gegevens die via social media beschikbaar zijn, maar ook informatie die mensen wellicht privé achten, bijvoorbeeld door de toegang van third party-apps of omdat het medium een feature heeft die informatie lekt die door derden buiten je controle lekken, zoals bij Facebook het geval was.
2. Controleer je beveiligingsinstellingen. De presentator haalt Google aan als voorbeeld van hoe het wél moet: je kunt een securitycheck op jezelf uitvoeren om te zien welke informatie je deelt met derden en wat je algehele beveiligingshouding is. Je kunt dieper gaan door op MyAccount van Google te kijken.
3. Gebruik features als 2FA of automatische e-mail bij nieuwe inlogs. Ook hier doet Google het goed: je krijgt automatisch bericht als je vanaf een nieuwe apparaat inlogt om te controleren of jij dat wel bent. 2FA via sms moet langzaam worden uitgefaseerd voor 2FA met bijvoorbeeld OTPW's via een app of hardware, maar voor dit moment geldt vooral: liever 2FA die met enige moeite te spoofen is dan helemaal geen 2FA.
4. Stel een sterk wachtwoord in. En als het lastig is om zoveel unieke sterke wachtwoorden te onthouden - wat eigenlijk onvermijdelijk is, omdat je wachtwoorden niet hergebruikt - laat een wachtwoordmanager het dan voor je doen en zorg dat die beschermd is met een sterk wachtwoord en 2FA.
4. Privacy versus security: DoH
Een omstreden issue van de laatste jaren in de beveiligingswereld is het versleutelen van DNS-informatie, onder meer vanwege technisch gesteggel; is het wel verstandig om functies van het control plane (waar beslissingen worden genomen over routering) te verplaatsen naar het data plane (waar verkeer wordt doorgesluisd). En dan is er ook nog een beveiligingsissue.
Als DNS over HTTPS (DoH) gaat, worden DNS-query's over een versleutelde verbinding verzonden en verborgen in de rest van het webverkeer. Dat is een privacyverbetering voor de meeste gebruikers, maar tegelijkertijd is het een probleem voor beveiligers. Want het monitoren van verkeer, een vereiste als je wilt zien waar en of data worden geëxfiltreerd, wordt daarmee ook gefrustreerd.
Dit is een typisch voorbeeld van de balans tussen privacy en security waar IT-beveiligers constant mee worstelen, zegt Johannes Ullrich. "Een van de tools die de meeste resultaten voor de minste moeite leveren zijn de logs van DNS." Alles wat je doet is zichtbaar in DNS-logs en dat geldt ook voor malafide activiteit, merkt hij op. "Malware gebruikt DNS om de malafide hostname te resolven, dus daar wil je zicht op hebben. Een van de nuttigste rapporten die ik graag heb van DNS is: Laat me alle uitgaande verbindingen zien waar ik niet meteen DNS-resolution heb, want dat is vaak malafide verkeer."
Maar privacyvriendelijk is dit niet, want alles wat een goedaardige netwerkbeheerder kan met DNS-informatie, kan een aanvaller ook doen met een verbinding. Softwarebedrijf Mozilla nam het voortouw in het verbeteren van privacy van eindgebruikers door DoH te testen in browser Firefox. Ook in Android P is DoH geïmplementeerd. Maar bij Mozilla is er vanwege het beveiligingsaspect discussie of DoH niet beter standaard uitgeschakeld kan zijn en gebruikers de optie geven om het in te schakelen.
"We houden van HTTPS omdat het de inhoud van data beschermt", zegt Ullrich, "maar nu beschermt het ook de metadata. Als beveiliger die netwerkmonitoring doet, verlies ik nu een van de belangrijkste tools die ik heb om kwaadaardige dingen op mijn netwerk te zien."
De oplossingen van Ullrich:
1. Gebruik DoH niet op een beheerd zakelijk netwerk. "Het gaat om het beveiligen van klantgegevens en welke websites je bezoekt zou daar geen prioriteit bij moeten zijn. Als je privé wilt browsen, doe dat dan op je mobiele telefoon en niet op het zakelijke netwerk."
2. Gebruik een VPN-dienst. Volgens de onderzoeker is DNS over TLS als je bijvoorbeeld het buitenland bezoekt of je ISP niet vertrouwt een soort armoedige VPN. Het helpt een beetje, maar het beschermt niet zo goed als een virtual private network.
Onlangs werd op open source-congres FOSDEM de uitdaging van DoH uitgebreid toegelicht door innovatiechef Vittorio Bertola van open ISP-platform Open-Xchange en die wilden we je hier niet onthouden mocht je meer willen weten over dit onderwerp:
5. Hardwarehacks
Vorig jaar beschreef Ullrich op RSAc de opkomst van CPU-hacks van de jaren 60, via de jaren 90 naar het heden, met CPU-aanvallen als Metdown en Spectre. Hij wijst op de vele Spectre-varianten die het afgelopen jaar zijn verschenen die illustreren dat deze kwetsbaarheid een klasse is die ons nog lang parten gaat spelen. "Het is niet alleen de CPU, je hebt te maken met een heleboel chips en veel daarvan zijn hun eigen systemen met hun eigen verwerkingscapaciteit, geheugen en draaiende code.
"We hebben het niet over kwetsbaarheden, maar over hoe aanvallers gebruik kunnen maken van de feature", vertelt de SANS-beveiliger. Hij noemt toegang krijgen tot de baseboard management controllers in bijvoorbeeld de cloudsystemen die je inzet. "Ze worden vaak gebruikt om systemen opnieuw te starten en zijn verbonden met een beheernetwerk. Een aanvaller die toegang heeft tot de BMC heeft daar ook toegang tot."
Dat beheersysteem wordt gezien als air-gapped, maar de tools om de BMC te beheren, bijvoorbeeld om die te flashen, bevinden zich vaak op de server, waarschuwt hij. Hij wijst op diverse kwetsbaarheden, zoals geheugentoegang via Thunderbolt (Thunderclap) of kwetsbaarheden in chipsets die worden gebruikt in tablets, gameconsoles, Chromebooks en smartphones.
1. Verwijder beheertools. Ullrich denkt terug aan de tijd van inbelmodems en war-dialing, waar officiële backdoors voor beheerdoeleinden werden misbruikt door aanvallers die er contact mee legden. Als het mogelijk is, blokkeer dan deze beheertools, oftewel de backdoors.
2. Toegang inregelen van beheernetwerken. Je moet kunnen zien wie er inlogt bij welk systeem, stelt de onderzoeker, en gebruik unieke wachtwoorden om het systeem te beveiligen.
3. Monitor het beheernetwerk. Ullrich zegt dat het monitoren eigenlijk makkelijker is op deze systemen dan voor algehele monitoring, omdat je weinig verkeer zou moeten hebben voor dergelijke beheersystemen. En: "Gebruik niet alleen de logging die is ingebouwd in deze BMC's, want de aanvaller heeft hier mogelijk toegang toe en dit is dan gecompromitteerd."
Op een Australische Linux-conferentie legt IBM-onderzoeker Joel Stanley haarfijn uit wat de risico's zijn van chips die zijn bedoeld voor beheerdoeleinden en hoe je hier tegen beveiligt:
Meer weten over deze trends? Op 25 april aanstaande volgt een virtuele sessie gebaseerd op deze bevindingen, wederom geleid door Skoudis, Mahalik en Ullrich. Schrijf je hier in bij RSA.
Bekijk hier de volledige presentatie die eerder deze maand op RSA's beveiligingscongres werd gegeven:
-
-
Er zijn nog geen reacties.Reageer
Preview