Ernstige Blackberry hack aanvallen verwacht
Secure Computing Corporation waarschuwt organisaties die hun Blackberry server achter hun firewall hebben staan dat ze rekening moeten houden met ernstige hackpogingen zodra Jesse D'Aguanno volgende week de code van het programma BBProxy openbaar maakt.
Ze geven een aantal voor de hand liggende netwerk suggesties om het risico van dit soort aanvallen te beperken. Een korte samenvatting van de adviezen die je kunt vinden op Hardwarezone:
- Een Blackberry server hoort te allen tijde in een DMZ.
- Alleen de hoognodige connecties moeten worden toegestaan. De Blackberry server mag nooit willekeurige verbindingen opzetten naar het internet of naar het interne netwerk.
- De mail server die met de BlackBerry server praat hoort ook in een DMZ
- De mail server mag alleen connecties opzetten die nodig zijn voor het functioneren van de mailserver. De mail server mag nooit willekeurige verbindingen opzetten naar het internet of het interne netwerk.
- Interne gebruikers mogen nooit willekeurige verbindingen opzetten naar de Blackberry server of de mailserver.
bruikbaar omdat een mailserver nu eenmaal door desktops en
Blackberries wordt benadered. Die kun je alleen maar in een
vrij open netwerk zetten. Dat een DMZ noemen is wat
optimistisch.
ondersteunde, is dat nog steeds zo? Tegenwooridg kan je de router
component wel in een DMZ plaatsen, maar wordt geadviseerd (en
ondersteund) de andere onderdelen juist buiten de DMZ te laten (o.a. ivm
performance issues)
probleem. Harde buitenkant maar eenmaal in het ei is alles zachtgekookt.
Island hopping komt vaak voor, ook thuiswerkplekken die middels VPN
met de zaak zijn verbonden kennen dit probleem.
Simpelste is om een BlackBerry IT policy in te stellen die voor al je
BlackBerry's in je enterprise voorkomt dat "Third Party application
downloads" niet toegestaan zijn. Hierdoor kan een eindgebruiker de
BBProxy niet installeren. Beetje vaag dat er zoveel ophef is, nergens wordt
deze oplossing genoemd, lijkt mij echter de meest eenvoudige.
Groetjes Tukker Tom
Ik zie hier nogal vaak de opmerking "Hoog open deur
gehalte". Indien je nou van mening bent dat dit zo is,
schrijf dan alsjeblieft zelf eens iets van toegevoegde
waarde in plaats van elk artikel af te kraken. Er is altijd
wel iets te vinden wat in de mening van anderen anders
opgelost zou kunnen worden. Een oplossing zou ook op prijs
gesteld worden, maar die zijn er vrijwel nooit. De 100%
veiligheid is namelijk niet te garanderen.
Gr.-
Marvin
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
