Find fem fejl

Her er en artikel om angrebet på RSA security og en liste over de 760 netværk fra hvilke der har været "phone-home" aktivitet til de samme command&control servere:

Who Else Was Hit By The RSA Attackers

Kig på listen og find fem firmaer der har afgørende indflydelse på computersikkerheden i dit firma.

Overvej så hvad du vil gøre ved det...

Og hvis CSC ellers hare noget der ligner en sikkerhedsfunktion mere, burde nogen spørge dem præcis hvad der ligge bag dette entry:

CSC Computer Management and CSC Denmark

phk

Kommentarer (24)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Jacob Christian Munch-Andersen

Jeg vil lige påpege at listen intet siger om hvor slemt hver enkelt virksomhed er ramt. Hvert punkt på listen kan jo være alt fra en enkelt notebook uden beføjelser til at gøre noget alvorligt til en total overtagelse af hele netværket.

Det er med den nuværende computerkultur svært at forestille sig at man kan have tusindvis af personlige computere med fuld netadgang osv. uden at nogle af dem bliver ramt af noget snavs. Det afgørende er derfor ikke om en virksomhed bliver ramt, men at de interne barrierer sikrer at angrebet forbliver isoleret.

  • 3
  • 2
Poul-Henning Kamp Blogger

Det afgørende er derfor ikke om en virksomhed bliver ramt, men at de interne barrierer sikrer at angrebet forbliver isoleret.

Sikke da noget management-ny-speak.

Det afgørende er sgu' da at vi begynder at tage computersikkerhed alvorligt og ikke bare siger "jamen vi er jo nødt til at køre ${usikker_OS_eller_applikation}

Dine interne barrierer er bare fingre i småhullerne på diget, mens bølgerne står ind over toppen...

  • 8
  • 1
Jacob Christian Munch-Andersen

Ja, vi skal tage sikkerhed alvorligt, langt mere alvorligt end det bliver taget, jeg påpeger sådan set blot at denne liste er et meget dårligt grundlag for at konkludere noget videre om hvem der er gode til sikkerhed (eller mindre dårlige end de andre, om man vil).

Ja, folk er nødt til at køre X applikation som muligvis indeholder et sikkerhedshul. Hvis man har godt styr på sikkerheden køres den i en sandkasse eller på en computer hvorfra der ikke er adgang til at påvirke andre systemer, men det forhindrer ikke nødvendigvis at et stykke malware finder vej til computeren/sandkassen og derfra ringer hjem, med det resultat at virksomheden havner på denne liste.

  • 2
  • 0
Jesper Lund

Mere alvorligt, så er jeg træt af at jeg skal give javascript fra 2o7.net adgang, når jeg logger på Danske Banks netbank. Det ville være dejligt, hvis sikkerhed blev taget alvorligt i andet end skåltalerne

Du kan bare blokere det med Adblock Plus eller 127.0.0.1 i hosts filen. Danske Netbank virker fint uden dette tredjeparts javascript. Umiddelbart ser det ud til at være noget statistik spyware.

  • 1
  • 0
Sune Marcher

Kunne det tænkes at nogle entries udelukkende er på listen pga. honeypots?

Og hvad dækker et entry over - er det bekræftet C&C trafik, eller 'blot' at der har været vilkårlig kontakt til specifikke ip-adresser?

  • 0
  • 0
Poul-Henning Kamp Blogger

Kunne det tænkes at nogle entries udelukkende er på listen pga. honeypots?

Selvfølgelig kan det det.

Men elementær sandsynlighedsregning tilsiger at det ikke drejer sig om 760 entries på listen. I bedste fald vil jeg tro at der er tale om 10-20 entries der kan forklares på den måde.

Jeg er sikker på at også nogle andre af disse entries har en god og tilfredsstillende forklaring, men "vi er bare ISP" er ikke en sådan, for det skjuler bare hvem det virkelige offer er.

Men mindst 2/3 af de firmaer er der på listen aner ikke hvorfor og ved ikke hvad de eventuelt har mistet af data og det er endnu et uomtvisteligt bevis på at vores nuværende tilgang til computersikkerhed ikke virker.

Se også: http://queue.acm.org/detail.cfm?id=2030258

  • 1
  • 2
Baldur Norddahl

Hvert punkt på listen kan jo være alt fra en enkelt notebook uden beføjelser til at gøre noget alvorligt ...

Hvilket bringer os til den falske sikkerhedsmekanisme som kaldes "firewall". Jeg tænker ikke på host-baserede men den slags hvor virksomhederne køber en dyr kasse fra Cisco og tilslutter ved indgangen til netværket.

Det er en tankegang hvor man forudsætter at maskinerne internt på en eller anden måde er mere venligt indstillet end maskiner ude på nettet. En forudsætning vi blot kan konstatere er forkert. Men de får da solgt en masse bokse.

Hvad kan man gøre ved det? Man må sikre hver enkelt computer som om firewallen slet ikke var der. Det gælder også serverne, som ikke bare må antage at brugere fra en bestemt IP range automatisk skal have adgang.

Hvis man absolut mener at firewall funktionen er noget netværket bør tilbyde, så har man brug for et system hvor der filtreres på port niveau på samtlige switche. Computeren på port 10 skal beskyttes imod den potentielt fjendtlige computer på port 15.

Desværre kender jeg ikke noget produkt der kan det.

  • 1
  • 0
Troels Thomsen

Det afgørende er sgu' da at vi begynder at tage computersikkerhed alvorligt og ikke bare siger "jamen vi er jo nødt til at køre ${usikker_OS_eller_applikation}

For de fleste er it nu engang et vaerktoej til at naa et maal og ikke et maal i sig selv. Jeg er helt enig i, at man skal goere alt det, der kan goeres, for at isolere usikre processer; det kan dog aldrig vaere en loesning ikke at anvende det, man har behov for.

  • 2
  • 1
Troels Thomsen

Men elementær sandsynlighedsregning tilsiger at det ikke drejer sig om 760 entries på listen. I bedste fald vil jeg tro at der er tale om 10-20 entries der kan forklares på den måde.

Hvad har sandsynlighedsregning med det at goere? Elementaer sandsynlighedsregning goer sig mig bekendt ikke nogle antagelser om sandsynligheden af et scenarie (det maa vaere dit eget estimat, og jeg er slet ikke uenig, men jeg er stadig interesseret i, hvordan du kommer frem til det)... ;-)

  • 2
  • 0
Martin Juhl Jørgensen

... er de farlige i mine øjne. Der findes utallige underleverandører til alle firmaer så hvor langt ned i kæden skal de lave et angreb for at underminere sikkerheden hos alle der benytter deres produkt. Det værste er at det er virksomhedder man aldrig har hørt om før med mindre man er i i B2B handel med dem.

Overvej f.eks. hvad du vil gøre hvis det lykkedes mig at finde detajleret info omkring en Broadcom/Ralink chip, og at jeg så bytter deres ASIC design ud med mit eget modificerede design der lagde en trojanskhest ind. Når firmaet modtager de IC'er fra fabrikken kan de teste dem og se at det virker. De sælger dem så videre til alle andre, f.eks. ASUS, Linksys/Cisco, etc. som sælgere dem videre til forbrugerne. Da alle stoler mere eller mindre på deres underleverandørers track-record ville den nok glide igennem til slutbrugeren. Det er lidt alá den der med at compile en compiler uden at du opdager det. Læg også mærke til de der cloud services der figurerer på listen.

  • 0
  • 0
Dennis Krøger

Jeg er sikker på at også nogle andre af disse entries har en god og tilfredsstillende forklaring, men "vi er bare ISP" er ikke en sådan, for det skjuler bare hvem det virkelige offer er.

Selvfølgelig er "vi er bare ISP" en god og tilfredsstillende forklaring (så længe det rent faktisk er kunder det drejer sig om, og ikke ISPens egne maskiner). Hvis ISPere skal begynde at stå til ansvar for sine kunders interne sikkerhed eller identificere dem overfor uvedkommende, er der noget helt galt.

  • 0
  • 0
Jakob Stærk

Baldur Norddahl skrev "Desværre kender jeg ikke noget produkt der kan det"

Det tror jeg faktisk flere produkter kan som standard. Jeg har selv konfigureret det i HPs switche (både E serie og A serie). Jeg tror faktisk også du kan gøre det i Cisco switche (jeg har dog ikke prøvet det)

Det kræver blot lidt kreativitet i brugen af protected ports/Isolated User Vlan/Super vlan i HP og private vlan i Cisco.

Ofte kan det gøres med de enheder man allerede har i sin infrastruktur. Det kræver noget systematik og standardisering. Men det behøver ikke at koste "kassen"

  • 0
  • 0
Michael N. Jensen

Re: Flere danske firmaer

FULLRATE Fullrate A/S TELIANET-DENMARK TeliaNet Denmark I sandhed en skræmmende liste!

De er jo begge udbydere, så det betyder bare at de har haft en inficeret kunde.

TDC TDC Data Networks, er da også lidt interessant, de bruger netop RSA tokens til deres login på deres kunders routere på bla. deres MPLS kredsløb, via deres Tacacs setup.

  • 0
  • 0
Baldur Norddahl

Det tror jeg faktisk flere produkter kan som standard.

Afhænger måske af hvad man forventer af netværkets firewall funktion. Skal det bare være simpel ACL? Så er jeg enig at mange switche kan gøre det.

Men hvad med stateful firewall der kun tillader related traffik? For eksempel kan man ønske at klient maskiner som standard kun kan modtage trafik som klienten har initieret. Det er selvfølgelig nemt at blokkere SYN på TCP men ikke helt så nemt med UDP. Blot at droppe SYN er ikke nok til at forhindre diverse skanningsteknikker med halv-åbne TCP pakker og hvad har vi.

Rigtige net-nazier vil måske endnu et skridt og insistere på noget netværks IDS og usynlig proxy til skanning af http med realtime blokkering af "farligt og upassende" indhold.

  • 0
  • 0
Jakob Stærk

Baldur Norddahl skrev "Skal det bare være simpel ACL? Så er jeg enig at mange switche kan gøre det."

Korrekt, hvis du vil have stateful inspection så kan du route i firewall istedet for i switchen, er det trafik mellem klinter i samme broadcast domain kan du skubbe en bridging firewall ind i ligningen - sammen med lidt kreativitet og så kan du faktisk opnå funktionaliteten med "små" midler (afhændig af hvilket firewall produkt du vælger).

  • 0
  • 0
Kristian Larsen

Følgende setup vil kunne gøre det, også på port niveau. Reelt set er det kun tilladt traffik som får lov til noget som helst:

Cisco Catalyst switche (Lan base or higher IOS) Cisco NAC Appliance Cisco firewall med IPS Cisco CSA.

Firewall'en er ikke nødvendig men kan spille sammen med. CSA giver den sidste del og elementerne spiller sammen - f.eks. 10 maskiner på et netværk med 1000 laver pludselig noget mærkeligt som normalt ville være tilladt, men fordi det er specielt og ikke normalt bliver det autoblokeret.

Korrekt sat op vil ovenstående kunne modstå næsten alle zero day exploits.

Over 5 år er Cisco CSA iøvrigt heller ikke dyrere end almindelig AV som du kan "spare" væk i denne løsning.

Netscaler ville iøvrigt aldrig kunne løse opgaven på fornuftig vis.

  • 0
  • 0
Kristian Larsen

Tre kommentarer:

Det vil jeg se før jeg tror det.  

Jeg tror Cisco vil være elle-vilde med at demo'e det - evt. en af deres partnere.

Gælder det også d=0 exploits imod cisco boxene ?  

Zero-day exploit mod en security hardened IOS baseret Catalyst switch?!?!?! Skulle der opstå en sådan på hh. catalyst eller firewall'en, så nej og hvis du kører med ukrypteret data på dit netværk vil det så kunne opsnappes.

Kan folk bag panseret faktisk udføre deres arbejde ?  

Ja - igen hvis det er korrekt opsat - for det er åbenlyst nemt at komme til at smadre muligheden for at nogen kan udføre noget som helst arbejde.

Jeg skal måske for god ordens skyld sige at jeg arbejder for en IBM Business Partner og derfor ikke har nogen særlig interesse i at promote Cisco's løsning

  • 0
  • 1
Klaus Ellegaard

Det er nemt at stirre sig blind på en teknisk løsning på den slags problemstillinger. Men faktum er, at der ikke findes en sådan teknisk fire-and-forget-løsning.

Når man taler om f.eks. antivirus, der vitterligt blot skal installeres og derefter køre selv, er min kvalitetstest ret simpel:

Garanterer leverandøren, at produktet virker, og tør han give en sådan garanti i form af ubegrænset skadeserstatning? Ubegrænset vel at mærke både hvad beløb og antal episoder angår?

Hvis svaret er noget som helst andet end et gjaldende "JA", uden nogen form for jura tilknyttet, har producenten netop indrømmet, at produktet overhovedet ikke fungerer:

For så skal det jo åbenbart "holdes i hånden" alligevel, brugerne skal alligevel uddannes, og så er vi jo (næsten) lige vidt... for hvor er det helt præcist, at den tekniske løsning giver op, og brugeren ikke behøver ryste på hænderne?

Og vigtigst af alt: hvad bliver total-cost-of-ownership i sidste ende? Prisen på udstyret + uddannelse + hvor mange ansatte til at holde det vedlige?

Det gælder også netværks-baserede løsninger på disse problemer: uden en betydelig indsats med uddannelse af medarbejdere, sikret og vedligeholdt opsætning, om nødvendigt fysisk og logisk adskillelse af kritiske netværk og så videre, så vil vi blive ved med at se denne slags problemer.

Der findes ikke nogen løsning, som en leverandør "bare lige kan levere", som så kan passe sig selv. Sikkerhed koster - enten på pengepungen eller på den frihed, medarbejderne kan have på firmaets maskiner. Og i praksis er det altid en risikobegrundet mellemting mellem de to.

Men at tro, at man bare lige kan installeret "noget", konfigurere det på passende vis, og så bare glæde sig over sikkerheden... så vil jeg i hvert fald insistere på førnævnte garanti.

  • 0
  • 0
Log ind eller Opret konto for at kommentere